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内 容 简介 


密码 学 和 信息 安全 是 一 个 重要 的 科学 技术 领域 ,不 仅 关系 到 国家 的 安 
全 ,而 且 与 人 们 的 经 济 活动 和 社会 生活 息息相关 . 通信 的 数字 化 和 计算 机 
技术 的 发 展 使 得 离散 型 数学 (数论 ,代数 ,组 合 学 等 ) 在 通信 中 得 到 广泛 而 深 
刻 的 应 用 ， 本 书 通 俗 地 介绍 密码 学 和 信息 安全 的 历史 发 展 与 进步 ,用 例子 
解释 重要 密码 体制 和 信息 安全 的 一 些 基 本 问题 ,讲述 初等 数论 的 基本 知识 
及 其 在 密码 学 和 信息 安全 中 的 应 用 . 

本 书 读者 对 象 为 对 初等 数论 和 密码 学 有 兴趣 的 广大 读者 ,具有 高 中 以 
上 数学 知识 的 人 均 可 阅读， 
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丛书 序言 


2002 年 8 月 ,我 国 数学 界 在 北京 成 功 地 举 
办 了 第 24 届 国 际 数学 家 大 会 . 这 是 第 一 次 在 一 
个 发 展 中 国家 举办 的 这 样 的 大 会 . 为 了 迎接 大 
会 的 召开 ,北京 数学 会 举办 了 多 场 科普 性 的 学 
术 报 告 会 ,希望 让 更 多 的 人 了 解数 学 的 价值 与 
意义 . 现在 由 科学 出 版 社 出 版 的 这 套 小 丛书 就 
是 由 当时 的 一 部 分 报告 补充 、 改 写 而 成 . 

数学 是 一 门 基础 科学 . 它 是 描述 大 自然 与 
社会 规律 的 语言 ,是 科学 与 技术 的 基础 ,也 是 扒 
动 科学 技术 发 展 的 重要 力量 . 遗憾 的 是 ,人 们 往 
往 只 看 到 技术 发 展 的 种 种 现象 ,并 享受 由 此 带 
来 的 各 种 成 果 , 而 忽略 了 其 背后 支撑 这 些 发 展 
与 成 果 的 基础 科学 . 美国 前 总 统 的 一 位 科学 顾 
问 说 过 :“ 很 少 有 人 认识 到 ,当前 被 如 此 广泛 称 
颁 的 高 科技 ,木质 上 是 数学 技术 "， 

在 我 国 ,在 不 少 人 的 心目 中 ,数学 是 研究 古 
老 难 题 的 学 科 , 数 学 只 是 为 了 应 试 才 要 学 的 一 
门 学 科 , 造成 这 种 错误 印象 的 原因 很 多 .除了 数 
学 本 身 比较 抽象 ,不 易 为 公众 所 了 解 之 外 ,还 有 


学 校 教学 中 不 适当 的 方式 与 要 求 . 媒 体 不 恰当 ， 
的 报道 等 等 . 但 是 ,从 我 们 数学 家 自身 来 检查 ， 
工作 也 有 欠缺 ,没有 到 位 . 向 社会 公众 广泛 传播 昌 
与 正确 解释 数学 的 价值 ,使 社会 公众 对 数学 有 
更 多 的 了 解 ,是 我 们 义不容辞 的 责任 . 因为 数学 
的 文化 生命 的 位 置 , 不 是 积累 在 库 藏 的 书架 上 ， 
而 应 是 闪烁 在 人 们 的 心灵 里 . 

20 世纪 下 半 叶 以 来 ,数学 科学 像 其 他 科学 
技术 一 样 迅速 发 展 . 数学 本 身 的 发 展 以 及 它 在 
其 他 科学 技术 的 应 用 ,可谓 日 新 月 异 ,精彩 纷 
旦 .然而 许多 鲜 活 的 题材 来 不 及 写成 教材 ,或 者 
挤 不 进 短缺 的 课时 . 在 这 种 情况 下 ,以 讲座 和 小 
册子 的 形式 ,面向 中 学 生 与 大 学 生 , 用 通俗 浅显 、 
的 语言 ,介绍 当代 数学 中 七 彩 的 话题 ,无 疑 将 会 
使 青年 受益 . 这 就 是 我 们 这 套 从 书 的 初衷 . 

这 套 丛书 还 会 继续 出 版 新 书 , 我 们 诚 层 地 
邀请 数学 家 同行 们 参与 ,欢迎 有 合适 题材 的 同 
志 踊 跃 投稿 . 这 不 单 是 传播 数学 知识 ,也 是 和 年 
青 人 分 享 自己 的 体会 和 激动 . 当然 ,我 们 的 水 平 
有 限 ,未 必 能 完全 达到 预期 的 目标 . 丛书 中 的 不 
当 之 处 ,也 欢迎 大 家 批评 指正 . | 


姜 伯 县 
2007 年 3 月 
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人 类 社会 发 展 到 一 定 阶段 ,产生 了 语言 
文字 . 一 些 国家 或 地 区 的 人 们 采用 共通 的 语言 
和 文字 进行 思想 的 交流 和 沟通 ,对 于 社会 生产 
和 生活 产生 巨大 的 作用 . 但 是 在 另 一 方面 ,在 
许多 社会 活动 中 ,思想 交流 需要 对 外 人 保守 秘 
密 ,使 用 各 种 暗语、 密 文 和 密码 . 大 约 四 千年 
前 ,埃及 尼罗河 畔 有 些 莫 碑 上 所 刻 的 铭文 不 是 
用 当时 的 文字 写成 的 ,而 是 用 一 些 奇怪 的 符号 . 
公元 前 130 年 左右 ,在 另 一 个 文明 古国 美 索 不 
达 米 亚 ,碑文 上 的 人 名 改换 成 数字 ,增加 了 神秘 
性 . 在 印度 ,公元 前 300 年 左右 《经 济 论 ) 一 书 ， 
记载 了 富 员 用 密码 给 密探 下 达 任务 . 在 中 国 ， 
明 朝 藉 一 葵 所 著 《 尧 山 堂 外 记 》 一 书 谈 到 三 国 时 
期 蜀 国 考试 制度 时 ， 提 到 主考 官 和 考生 约定 的 


公元 10 世纪 以 后 ,密码 逐渐 广泛 地 使 用 到 
政治 ,军事 和 外 交 上 ,在 这 些 领域 中 通信 加 密 的 
重要 性 ,加 速 了 密码 的 发 展 .中国 在 公元 11 世 


长 ORDER 和 a 


纪 的 《 武 经 总 要 》 一 书 中 ,详细 记载 了 一 个 小 型 
但 却 是 名 符 其 实 的 军用 密码 本 ,将 从 “申请 弓 
箭 " 到 “报告 胜利 "等 40 条 信息 ,分 别 用 一 首 请 
的 前 40 个 汉字 来 代替 . 在 16 世纪 末期 ,欧洲 许 、 
多 国家 设 定 了 专职 的 密码 秘书 ,重要 的 文件 都 
采用 密 写 . 有 加 密 就 有 破 密 ,加 密 和 破 密 是 矛 
和 盾 的 两 个 方面 ,呈现 出 “ 魔 高 一 尺 , 道 高 一 丈 缠 
的 竞赛 场面 . 到 了 18 世纪 ,欧洲 各 国 普遍 建立 
了 “ 黑 屋 ", 它 的 任务 就 是 截取 别人 来 往 信件 , 设 、 
法 破译 这 些 信件 ,获得 重要 的 军事 和 外 交情 报导 
在 当时 ,维也纳 的 “ 黑 屋 "是 最 高 明 的 一 个 ， 
译 过 拿破仑 的 信件 . 在 第 一 次 大 战 期 间 ,英国 
的 "40 号 房间 "从 1914 年 10 月 至 1919 年 , 共 蕉 | 
获 和 破译 了 15000 份 德国 密码 电报 . 涝 本 

除了 保密 在 政治 和 军事 中 的 重要 性 之 外 
通信 技术 的 进步 也 极 大 地 加 速 了 保密 通信 的 发 
展 . 在 人 类 早期 通信 中 ,重要 的 信件 主要 靠 信 
使 传送 ,密码 的 构 作 方 式 主要 借用 文字 或 字母 
的 替换 ,或 者 把 字母 改 用 数字 代码 ,而 破译 主要 
用 纸 笔 手工 操作 ， 后 来 发 明了 保密 机 ,用 机 械 
式 的 运算 或 变换 方式 代替 手工 运算 和 操作 , 提 
高 了 保密 通信 的 效率 . 1844 年 有 线 电 报 的 发 明 ， 
和 1895 年 无 线 电 的 诞生 ,引发 通信 技术 的 一 场 


重要 革命 ,有线 电 报 和 无 线 电 通信 使 信息 传输 
快速 方便 ,与 此 同时 ,大 量 的 电信 号 在 无 线 电 传 
输 时 容易 被 外 人 截取 ,这 些 容 易 截取 到 的 大 量 
密 文 为 破译 者 提供 了 更 多 的 素材 ,促进 了 破译 
技术 的 发 展 ， 由 于 密 文 易 被 截取 从 而 增 大 了 被 
破译 的 可 能 ,因此 也 要 求 加 大 保密 程度 ,这 迫使 
人 们 创造 更 高 明 的 加 密 方法 和 手段 ,到 了 第 二 
次 世界 大 战 期 间 , 电 子 通 信 技 术 手 段 促使 加 密 
和 破译 方法 有 新 的 飞跃 . 于 是 ,交战 双方 一 一 
德国 \ 日 本 、 英 国 ,尤其 是 美国 一 采取 了 一 项 
重大 措施 ,就 是 请 一 批 出 色 的 数学 家 从 事 这 项 
工作 ,借助 于 数学 思想 和 工具 进行 加 密 和 破译 . 
美国 数学 家 在 密码 分 析 ( 即 破译 ) 方 面 干 得 非常 
出 色 . 日 本 人 在 20 世纪 30 年 代 后 期 发 明了 一 
种 高 级 加 密 机 “ 九 七 式 欧 文 印 字 机 ”( 美 国人 称 
之 为 " 紫 密 ”) ,使 用 了 相当 复杂 的 多 表 代替 型 密 
码 . 美国 密码 分 析 学 家 利用 数学 工具 (数论 、 群 
论 和 数理 统计 学 ) 在 1940 年 破译 了 “ 紫 密 ”, 但 
不 为 日 本 人 所 知 ， 1942 年 日 本 突袭 中 途 岛 海战 
的 失败 ,一 个 重要 原因 是 美国 破译 了 日 本 攻击 
中 途 岛 的 情报 .1943 年 4 月 ,美国 破译 了 日 本 
联合 舰队 长 官 山本 五 十 六 视察 前 线 阵地 的 详细 
日 程 表 ,在 4 月 18 日 这 一 天 , 派 18 架 战斗 机 在 
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预定 时 间 和 地 点 打下 山本 的 座机 ,成 为 密码 更 
上 精彩 的 一 页 ,也 展现 了 数学 在 加 密 和 破译 审 
的 巨大 威力 . 美国 数学 家 香农 (Claud Elwood 
Shannon) 是 这 期 间 建立 和 发 展 通信 理论 的 杰出 
代表 . 他 在 1948 年 和 1949 年 分 别 发 表 了 两 篇 
著名 论文 (通信 的 数学 理论 ) 和 《保密 系统 的 通 
信 理 论 》， 前 一 篇 文章 建立 了 信息 论 ,把 整个 
信人 (特别 是 可 靠 性 通信 ) 建 立 在 坚实 的 数学 基础 
之 上 ;而 后 一 篇 文章 建立 了 保密 通信 的 数学 悍 
论 . 在 早期 发 展 中 ,加 密 方式 五 花 八 门 ( 包 扩 
密 写 药水 的 隐 写 术 、 把 文字 藏 在 优美 画图 z 
的 隐形 术 等 ) ,而 破译 更 多 地 体现 为 心智 的 
赛 ,其 特性 更 像 是 一 种 艺术 ,香农 建立 保密 
数学 理论 之 后 ,加 密 和 解密 才 成 为 一 种 科学 ( 密 
码 学 和 密码 分 析 学 ). 6 

20 世纪 60 年 代 末期 开始 ,通信 技术 又 有 飞 
速 的 发 展 . 微 电 子 学 的 进步 使 电子 元 件 更 加 可 
靠 和 小 型 化 ,并 且 出 现 了 高 速 的 数字 计算 机 和 
大 规模 的 数字 通信 网 络 . 这 些 技术 进步 为 保密 | 
通信 带 来 许多 新 的 课题 . 首先 ,由 于 计算 机 的 
进步 ,密码 分 析 有 了 更 快速 的 计算 手段 ,原来 以 
为 安全 的 加 密 方法 现在 变 得 不 安全 了 ,这 就 促 
使 加 密 和 破译 的 方式 都 提高 到 一 个 新 的 水 平 : 


另 一 方面 ,通信 网 络 在 全 球 的 普遍 采用 ,深入 到 
经 济 和 社会 的 各 个 层面 ,甚至 到 千家 万 户 的 日 
常生 活 . 保密 通信 不 仅 是 政治 和 军事 上 的 需 
要 ,而 且 也 成 为 电子 商务 活动 ,社会 管理 以 及 保 
护 个 人 隐私 等 方面 的 重要 问题 ,通信 进入 多 样 
化 和 复杂 的 社会 活动 各 领域 之 后 ,也 对 通信 的 
安全 人 性 提出 了 许多 新 的 要 求 . 例如 ,如 何 保护 
计算 机 数据 ? 通信 网 络 的 发 展 ,每 个 用 户 与 众 
多 用 户 进行 保密 通信 ,大 量 的 密 钥 如 何 保存 . 管 
理 和 更 换 ? 以 电子 的 方式 购 货 或 付款 时 ,如 何 
进行 电子 签名 以 确认 购 货 人 和 借款 人 的 身份 ? 
商业 电子 活动 的 双方 发 生 冲 突 时 ,以 何 种 方式 加 
以 仲裁 ,并 且 在 仲裁 过 程 中 各 方 还 保证 不 泄漏 秘 
密 …… 这 些 需 要 解决 的 新 课题 使 主要 研究 信息 
加 密 的 密码 学 扩展 成 考虑 各 种 安全 性 能 的 一 个 
广泛 领域 ,现在 称 之 为 “信息 安全 "领域 ， 1976 
年 ,美国 人 狄 非 (W. Diffie) 和 海尔 曼 (M .下 . 
Heliman) 发 表 了 “密码 学 中 的 新 方向 "一 文 ,提出 
一 种 全 新 的 密码 思想 , 叫 作 公开 密 钥 体制 . 这 种 
体制 很 好 地 解决 了 大 量 密 钥 管理 和 数字 签名 问 
题 ,马上 就 受到 广泛 的 注意 . 公 钥 体制 是 信息 领 
域 一 场 重大 的 变革 ,现在 已 经 有 效 而 广泛 地 应 用 
于 信息 安全 的 各 个 方面 . 
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半 个 多 世纪 以 来 ,在 通信 的 发 展 中 ,数学 起 
了 很 大 的 作用 ,这 主要 体现 在 两 个 方面 :数学 工 
具 的 更 新 和 通信 与 数学 发 展 的 互动 , 在 电子 通 
信和 计算 机 的 早期 发 展 阶 段 ,电子 信号 是 连续 
信号 ,分 析 信号 的 主要 数学 工具 是 微 积分 中 的 
传 里 时 变换 . 大 家 知道 ,17 世纪 欧洲 工业 革命 
当中 ,由 于 机 械 工业 发 展 , 力 学 导致 牛顿 发 明 微 
积分 \ 流 体力 学 和 电磁 学 ,使 微 积分 得 到 巨大 发 
展 , 成 为 数学 的 主流 . 数字 通信 和 数字 计算 机 
采用 脉冲 信号 , 信号 不 是 连续 的 而 只 有 有 限 个 
状态 (通常 只 有 两 个 状态 ,数学 上 表示 成 0 和 
1). 描述 这 种 有 限 离 散 的 逻辑 线路 采用 离散 性 
数学 工具 ,主要 是 数论 ,代数 和 组 合 数学 数 
论 \ 代 数 和 几何 是 最 古老 的 3 个 数学 分 支 , 数学 
被 认为 是 科学 的 皇后 ,而 数论 被 大 数学 家 高 斯 
称 为 是 数学 的 皇后 . 数论 的 研究 博大 精深 ,一 
直 是 象牙 之 塔 ,现在 在 通信 中 得 到 深刻 的 应 用 . 
比如 ,在 公 钥 体制 中 目前 广泛 采用 的 两 种 方案 
(其 一 是 大 数 分 解 的 离散 对 数 方案 ) 都 是 采用 了 
数论 方法 . 数论 和 抽象 代数 ( 群 \ 环 \ 域 ,特别 是 
有 限 域 ) 现 已 成 为 通信 工程 师 必 不 可 少 的 数学 
工具 . 组 合 数学 在 半 个 世纪 之 前 不 属于 数学 的 
大 雅之 堂 ,被 认为 是 一 些 数 学 游戏 (36 军官 问 
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题 一 笔画 问题 \ 四 色 问 题 \ 周 游 世 界 问题 等 ). 
数字 通信 和 离散 规划 等 方面 的 发 展 大 大 提高 了 
组 合 数学 的 地 位 . 在 具有 百年 历史 的 世界 数学 
家 大 会 上 ,历来 只 有 传统 的 数学 学 科 被 列 为 大 
会 分 组 之 中 .1978 年 设立 了 新 的 小 组 “离散 数 
学 与 计算 机 科学 中 的 数学 而 从 1983 年 开始 ， 
组 合 数学 单独 成 为 一 个 小 组 . 第 二 个 方面 ,是 
通信 (比如 信息 安全 ) 为 数学 界 提出 了 一 系列 具 
有 实际 意义 的 研究 问题 ,推动 了 数学 的 发 展 ,为 
传统 学 科 ( 如 数论 ) 注 和 信 了 新 的 活力 ,开辟 了 新 
的 研究 方向 (如 计算 数论 和 计算 代数 ) ,甚至 出 
现 了 许多 全 新 的 数学 研究 领域 (如 计算 复杂 性 
理论 等 ). 在 许多 先进 国家 ,通信 和 计算 机 领域 
凝聚 了 阵营 强大 的 数学 家 队伍 . 保密 通信 和 信 
息 安 全 领域 是 最 需要 独立 自主 和 创新 思想 的 一 
个 领域 ,需要 数学 家 与 通信 、 计 算 机 专家 有 效 地 
通力 合作 . 

以 上 我 们 简要 地 介绍 了 保密 通信 发 展 的 大 
臻 轮廓。 从 介绍 中 可 以 看 出 数论 、 代 数 、 组 合 数 
学 和 概率 统计 学 等 多 个 学 科 在 密码 学 、 密 码 分 
析 和 信息 安全 各 方面 都 有 重要 的 应 用 . 在 这 本 
小 册子 里 ,我 们 通俗 地 讲述 密码 学 和 信息 安全 
发 展 中 的 一 些 例子 ,说 明 数 论 ( 主 要 是 初等 数 


、 


论 ) 如 何 用 于 保密 通信 的 这 些 领 域 . 在 讲述 过 ， 
程 中 我 们 也 浅显 地 介绍 初等 数论 的 一 些 知识 以 
及 数论 发 展 中 的 一 些 故事 . 


作者 


序言 

2 的 入 

3 凯撒 密码 一 一 整除 和 同 余 ， 

4 维 吉 尼 亚 密码 一 一 周期 序列 

5 流 密 码 一 一 移 位 寄存 器 wossco0sssss0dotsssee rm os 

6 M 序列 与 图 论 一 一 周游 世界 和 一 笔画 ……… 

7 _M 序 列 的 实现 一 一 费 马 小 定理 和 布尔 函数 
多 项 式 表达 式 ， 

9 RSA Egg or 

10 RSA 公 钼 的 个 数 一 一 欧 拉 函数 和 欧 拉 

11 离散 对 数 公 钥 方案 一 一 原 根 与 指数 … 

12 密 钥 管理 和 更 换 一 一 有 限 域 上 的 多 项 式 …… 

14 量子 密码 :保密 通信 的 未 来 “…………………: 


001 


… 009 
… 017 
… 023 


026 
037 


… 047 
… 060 


067 


077 
* 088 


099 
106 


AS 


I 什么 是 保密 通信 


人 们 在 社会 活动 和 日 常生 活 中 离 不 开通 信 
交往 . 通信 有 许多 不 同 的 具体 方式 “烽火 连 三 
月 ,家 书 抵 万 金 " 中 传递 战事 信息 的 烽火 台 和 战 
土 寄 回 家 中 的 书信 为 通信 的 两 种 方式 . 从 电 发 
明之 后 的 电报 和 电话 一 直到 计算 机 时 代 的 电子 
邮件 、 图 象 和 数据 的 传送 ,通信 的 技术 手段 日 新 
月 异 , 但 是 通信 的 数学 模型 均 可 简单 而 统一 地 
表 成 以 下 形式 . 


Ei 
I I 
(发 方 ) ( 收 方 ) 


通信 是 发 方 和 收 方 之 间 的 一 种 活动 . 发 方 
在 信 源 把 信息 x 通过 信道 传送 出 去 , 收 方 在 信 
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宿 接收 信息 x. 比如 在 电报 通信 中 ,信和 源 和 信和 宿 
分 别 是 发 报 机 和 收报 机 ,信息 是 电报 中 的 文字 ， 
但 是 发 方 要 把 文字 转换 成 电信 号 z 发 出 ,信道 
是 传递 电信 号 的 空气 介质 , 收 方 接 到 电信 号 x 
之 后 用 电码 本 转 回 到 电报 中 的 文字 . 在 信件 传 
弟 中 ,发 方 和 收 方 为 发 信人 和 收 信人 ,信道 是 邮 
递 员 或 人 类 早期 的 驿站 . 在 电视 通信 中 ,发 方 为 
电视 台 , 收 方 为 各 电视 用 户 ,信息 则 是 传递 的 
图 象 . 

信息 有 许多 不 同 的 具体 形式 ,如 文字 \ 声 
音 、 图 象 和 数据 资料 等 . 在 当今 无 线 电 通信 和 数 
字 计 算 机 时 代 , 各 种 形式 的 信息 大 都 转化 成 数 
字 脉 冲 电信 号 来 传递 . 每 个 脉冲 信号 只 具有 有 
限 多 个 状态 ,这些 状态 在 数学 上 表示 成 a1 ,…， 
am; 其 中 mm 为 状态 的 个 数 ,它们 构成 状态 集合 
S= |a1,…,an|. 每 个 基本 信息 用 长 度 为 4 的 一 
个 状态 序列 来 表示 : 

oo (68): 

由 于 每 个 c; 均 有 m 种 选取 方式 ,所 以 共有 m” 
个 状态 序列 ,用 来 表达 m" 个 基本 信息 . 通常 采 
用 的 脉冲 信号 只 有 两 个 状态 ,数学 上 表示 成 0 
和 1, 即 S={0,1}， 如 果 将 英文 的 26 个 字母 用 
这 种 二 元 状态 序列 来 表示 (m= 二 2), 则 需要 序列 


的 长 度 为 5( 因 为 2 过 26 而 2 之 26). 我 们 把 长 
为 5 的 32 个 二 元 序列 按 整数 0,1,2,…,31( 二 
2 一 1) 的 二 进 制 展开 排 成 一 个 次 序 . 整数 !(0 科 
/ 委 31) 写 成 二 进 制 形式 为 
l= co 2 十 c 2 十 cv,2 十 cv 2 十 co 

一 16…cs 十 8c: 十 4cz 十 2ci 十 c 

一 《cicaczclco )， 
其 中 每 个 c; 为 0 或 1. 例 如 ;0= (00000),1= 
(00001) 等 .于 是 长 为 5 的 所 有 32 个 二 元 序列 
可 依次 排 成 
0 = (00000),1 = (00001),2 = (00010), 
3= (00011),4 = (00100),5 = (00101),…, 
31 = (11111). 
从 而 把 26 个 英文 字母 依次 表 成 二 元 序列 : 

A = (00000),B = (00001), 

C= (00010),*…,Z = 25 = (11001). 

这 样 一 来 ,如 果 我 们 要 传递 M 个 基本 信 
息 , 将 它们 编 成 m 个 状态 的 序列 时 ,所 需 状 态 序 
列 的 长 度 差不多 是 LogwM. 这 个 序列 长 度 是 通 
信 的 一 个 重要 的 指标 , 因为 它 直接 影响 通信 所 
花费 的 时 间 , 即 通信 的 传递 速度 . 因为 传送 一 个 
长 为 100 的 序列 所 花 的 时 间 , 是 传递 一 个 长 为 
10 的 序列 所 花 时 间 的 10 倍 . 


通信 中 有 许多 数学 问题 ,本 书 中 只 谈 保密 
通信 . 在 保密 通信 中 ,发 方 和 收 方 合 称 为 我 方 ， 
他 们 的 对 立 面 可 称 之 为 敌 方 (或 对 手 ), 我 方 传 
送 的 信息 不 能 让 政 方 得 知 ,发 方 需 要 将 信息 加 
密 再 传 给 收 方 . 原来 的 信息 叫 作 明文 ,加 密 后 成 
为 密 文 . 收 方 在 接 到 密 文 之 后 ,要 把 密 文 去 密 ， 
恢复 成 明文 . 加 密 和 去 密 方法 只 有 我 方 知道 . 政 
方 在 截取 到 密 文 之 后 ,要 致力 于 攻击 密 文 ,希望 
能 破译 出 一 些 明文 来 ,更 高 的 目标 是 希望 能 破 
译 出 我 方 的 加 密 和 去 密 方式 . 如 果 破 译 出 加 密 
方式 , 敌 方 可 以 制造 假 信 息 ,加 密 后 传 给 收 方 ， 
达到 欺骗 的 目的 . 如 果 破 译 出 去 密 方式 , 政 方 今 
后 可 源源 不 断 地 破译 我 方 的 密 文 , 综合 上 述 , 通 
信 模 型 在 增加 了 保密 功能 之 后 , 便 成 为 如 下 形 
式 的 保密 通信 数学 模型 

六 

{明文 ) ( 密 文 ) 1 

现在 我 们 举 一 个 例子 . 在 战事 中 政 方 截 获 
了 一 份 电报 ,如 图 1 所 示 . 试问 你 能 否 把 字 破 译 
出 来 ? 

将 明文 加 密 需要 做 两 件 事情 ， 


图 1 一 份 电报 密 文 


(1 ) 设计 加 密 的 方式 ,这 叫 作 密码 体制 

(TD 一 种 密码 体制 通常 要 使 用 一 段 时 间 ， 
但 是 在 使 用 中 可 以 改变 其 中 的 某 些 控制 参数 ， 
这 些 参 数 叫 作 密 钥 . 密 钥 由 发 方 和 收 方 事先 约 
定 ,不 可 被 敌 方 知道 , 密 钥 不 但 要 由 我 方 妥善 保 
管 , 为 防止 政 方 破译 ,还 需要 不 断 地 更 换 

现在 介绍 上 面 电报 密 文 的 加 密 体制 , 取 一 
张 6X6 的 方 格 纸 ( 见 图 2). 考虑 其 中 标 有 甸 的 
那个 方 格 . 以 方 格 纸 的 中 心 点 P 为 固定 点 , 顺 时 
针 将 正方 形 转动 90",180* 和 270”, 标 有 四 的 广 
格 便 依次 移 到 标 有 包 , 和 名 的 3 个 方 格 .我 们 
称 这 4 个 方 格 是 等 价 的 ,形成 一 个 等 价 类 . 于 
是 ,36 个 方 格 当中 ,每 4 个 方 格 形成 1 个 等 价 


§ 


Pr TT 


类 ,共有 9 个 等 价 类 . 

从 每 个 等 价 类 中 取出 1 个 方 格 , 共 取 出 9 
个 方 格 分 别 属于 不 同 的 等 价 类 . 如 图 2 中 9 个 
标 有 的 方 格 ,就 是 9 个 不 同等 价 类 的 代表 . 把 
这 9 个 方 格 挖 空 , 便 做 成 一 个 加 密 的 工具 


10=(001010) 


21=(010101) 


34=(100010) 


08=(001000) 


00=(000000) 


32=(100000) 


图 2 一 种 置换 加 密 体 制 和 密 钥 


现在 我 方 指 挥 官 要 发 一 个 36 字 的 明文 给 
前 线 师长 ; 他 把 方 格 纸 放 在 电报 纸 上 . 先 在 挖 空 
的 9 个 格子 处 从 第 1 行 起 从 左 到 右 填 写 明文 ， 
然后 接着 在 第 2 行 一 直到 第 6 行 均 从 左 到 右 填 
写 完 明 文 开 头 9 个 字 . 把 方 格 纸 顺 时 针 转 90 ， 
又 漏出 9 个 新 的 空格 , 按 同样 方式 再 接着 填写 9 
个 字 . 然后 顺 时 针 再 转 90° 两 次 , 填 上 后 边 18 个 
字 . 把 方 格 纸 履 开 , 就 成 了 图 1 中 的 密 文 . 这 种 


加 密 方式 是 将 明文 中 字 的 位 置 作 了 移动 , 叫 作 
是 置换 (或 移 位 ) 密 码 体制 . 收 方 在 得 到 密 文 电 
报 之 后 ,把 同样 的 方 格 纸 放 在 电报 上 ,从 空格 处 
先 读 出 9 个 字 , 然后 旋转 方 格 纸 , 便 依次 读 出 
明文 . 

加 密 用 的 方 格 纸 可 一 式 两 份 ,发 方 和 收 方 
各 保存 一 份 , 分 别 用 来 加 密 和 去 密 ,但 是 方 格 纸 
有 丢失 的 危险 , 最 好 是 再 给 出 一 个 隐蔽 的 方式 
记录 挖 空 格 的 方式 :比如 说 ,我 们 把 挖 空 的 格子 
记 成 1, 未 挖 空 的 格子 记 成 0, 则 图 2 中 第 一 行 
为 (001010). 将 它 看 成 是 二 进 制 数 , 表 成 十 进 制 
数 为 2 十 2 一 10. 同 样 地 ,后 5 行 依次 为 
(010101) = 21,(100010) = 34,(001000) = 8， 
(000000) = 0,(100000) = 32. 
于 是 ,我 们 只 需 记 一 串 数字 102134080032, 这 就 
是 密 钥 . 发 方 和 收 方 只 需 约 定 这 个 密 钥 , 便 可 各 
自制 作出 这 个 用 来 加 密 和 去 密 的 方 格 纸 ， 

每 个 等 价 类 有 4 个 方 格 , 从 中 取出 一 个 代 
表 共 有 4 种 方式 . 所 以 从 9 个 等 价 类 中 各 取 一 
个 代表 共有 4 二 262144 种 方式 . 这 表明 ,在 密码 
体制 不 改变 的 情况 下 ,我 方 共有 262144 个 密 钥 
可 供 选择 , 即使 敌 方 破译 了 加 密 体制 ,要 破译 密 
钥 也 不 容易 ,我 方 在 下 一 次 可 以 更 换 密 铀 . 
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这 种 置换 密码 体制 还 有 许多 花样 ,并 且 加 
密 过 程 可 以 用 机 械 来 实现 ,做 成 密码 机 . 但 是 在 
无 线 电 通信 中 更 广泛 的 采用 另 一 种 密码 体制 : 
明文 中 的 字 不 是 用 改变 位 置 的 方式 作为 密 文 ， 
而 是 把 明文 中 每 个 字 或 者 一 组 字 替 换 成 别 的 字 
或 字 组 , 叫 作 替换 密码 体制 . 以 后 我 们 介绍 的 例 
子 均 属 于 替换 密码 体制 . 


习题 一 


1. 用 给 出 的 密 钥 读 出 图 1 中 的 密 文 . 


2.4 个 密 钥 中 ,哪些 是 密 钥 制作 的 空格 ,其 
保密 性 能 不 好 ? 


2 密码 学 中 的 格言 


“几乎 每 个 密码 设计 者 都 相信 他 的 杰作 是 
不 可 破译 的 . ”这 是 戴 维 . 卡 恩 (David Kahn) 
在 1967 年 所 写 《 破 译 者 》 一 书 中 的 一 句 话 . 但 
大 量 历史 事实 表明 密码 设计 者 往往 过 于 自信 . 
例如 ,法 国 密码 学 家 巴 泽 里 (Bageries, 1846 ~ 
1931 ) 为 法 国政 府 和 军 方 破译 了 大 量 密码 , 包 
括 破译 了 德 维 亚 里 的 密码 ,他 在 不 断 攻击 别人 
密码 的 过 程 中 提出 了 自己 一 种 密码 系统 ,声称 
是 绝对 安全 的 ,但 是 这 个 系统 却 被 德 维 亚 里 
(M. de Viaris) 破 译 了 . 还 可 举 出 许多 许多 这 样 
的 例子 . 

如 何 判别 一 个 密码 系统 是 好 的 ,破译 确实 
困难 ? 这 是 保密 通信 中 最 重要 的 问题 ,但 也 是 


很 难说 清楚 的 问题 . 多 年 来 ,人 们 从 不 同 的 角度 
提出 许多 标准 来 衡量 密码 系统 的 安全 人 性, 这 些 
标准 或 者 采用 专门 性 的 术语 ,或 者 使 用 形式 化 
的 数学 概念, 男 一 方面 ,在 密码 界 流传 着 一 些 格 
言 ,体现 出 实践 上 的 经 验 与 体会 . 现在 结合 这 些 
格言 对 于 加 密 和 破 详 工 作 的 指导 原则 做 一 个 描 
述 性 的 讨论 ， 


格言 1: 不 应 当 低估 对 手 的 能 力 ， 


这 是 送 给 密码 设计 者 的 警句 . 我 们 在 序言 
中 讲 了 二 战 时 美国 破译 日 本 “ 紫 密 "的 例子 . 二 
战 时 的 另 一 个 例子 是 英国 人 破译 德国 ENIG- 
MA 密码 机 ,而 德国 海军 一 直 坚 信 ENIGMA 是 
不 可 破译 的 . 破译 密码 确实 比 制作 密码 还 要 困 
难得 多 . 但 是 现今 已 经 发 明 出 许多 破译 密码 的 
手段 . 而 且 在 破译 之 后 是 不 会 声张 的 ,反而 会 采 
用 迷惑 的 方式 ,甚至 会 有 意 地 牺 性 局 部 的 损失 ， 
鼓励 对 方 继续 使 用 已 被 破译 的 密码 ,窃取 更 多 
的 情报 . 英国 数学 家 图 灵 (Turing, 计 算 机 理论 
创始 人 之 一 ) 于 1939 年 参与 破译 德国 ENIG- 
MA 密码 机 ,这 件 事 一 直 保密 到 1974 年 . 

破译 者 对 于 密码 有 以 下 三 种 攻击 的 方式 ， 
外 唯 密 文 攻击 , 即 在 只 知道 一 段 密 文 的 情况 下 


进行 破译 . 这 时 ,需要 截取 足够 多 的 密 文才 能 进 
行 统计 分 析 . @ 已 知 明文 攻击 . 破译 者 已 知 一 些 
明文 和 它们 所 对 应 的 密 文 ;然后 破译 新 的 密 文 ， 
或 者 破译 出 密码 体制 和 密 钥 . @ 加 密 解密 攻击 . 
即 在 破译 加 密 方式 之 后 得 到 解密 的 方法 . 在 早 
期 的 密码 系统 中 ,由 加 密 运算 常常 很 容易 得 出 
解密 运算 ,比如 上 节 例子 中 ,加 密 和 解密 均 采 用 
同一 张 挖 洞 的 方 格 纸 . 但 是 在 1976 年 发 明 的 公 
钼 体制 中 ,即使 知道 了 加 密 运算 ,也 很 难得 出 解 
密 方式 . 在 设计 密码 时 要 考虑 破译 者 各 种 攻击 
方式 . 


格言 2: 只 有 密码 分 析 者 才 有 资格 评价 一 个 密码 
体制 的 安全 性 ， 


保密 通信 理论 的 黄 基 人 香农 提出 了 设计 好 
密码 的 一 些 标准 . 其 中 包括 :@ 加 密 安全 强度 
大 , 敌 方 在 截取 大 量 密 文 的 情形 下 也 只 能 提取 
少量 的 信息 ,很 难 恢 复 成 明文 . @ 密 钥 是 保密 的 
关键 ,也 是 破译 工作 的 主要 攻击 对 象 . 密 钥 的 生 
成 方式 ,传送 和 保管 需要 绝对 安全 可 靠 . 还 需要 
有 足够 多 的 密 钥 ,以 便 随时 更 换 . @ 加 密 和 去 密 
的 方式 既 要 “复杂 ", 使 保密 性 能 很 高 ,又 要 操作 
简单 ,在 工程 上 容易 实现 , 密 文 不 能 比 明文 长 很 
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多 ,和 否则 要 影响 通信 的 速度 和 效率 等 , 但 是 有 许 
多 密码 专家 认为 ,不 能 由 密码 设计 者 所 说 (破译 
他 的 密码 需要 花 多 少 计算 时 间 ,要 试验 需 采用 
多 少 种 组 合 方式 ) 就 相信 这 种 密码 是 安全 的 、 评 
判 密码 安全 性 的 发 言 权 掌握 在 密码 分 析 家 的 手 
里 ,密码 要 经 得 起 别人 的 攻击 . 我 们 在 后 面 将 会 
看 到 , 公 钥 体制 发 明之 后 ,十 多 年 间 , 人 们 提出 
了 大 量 的 实现 方案 ,到 目前 为 止 未 被 人 攻破 的 
方案 只 剩 下 两 个 方案 (这 两 个 都 是 用 数论 构 作 
的 公 钥 方案 )! 


格言 3: 要 假定 敌人 知道 你 所 用 的 加 密 体制 


这 是 香农 说 的 话 . 密 钥 可 以 经 常 更 换 , 而 加 
密 体制 和 用 这 种 体制 的 加 密 机 和 解密 机 是 长 期 
使 用 的 ,所 以 ,破译 者 可 以 有 较 长 时 间 来 猜测 、 
试验 以 至 于 破译 出 加 密 所 用 的 体制 , 政 方 也 会 
截取 加 密 机 ,观察 和 分 析 它 的 结构 . 所 以 ,设计 
一 个 好 的 密码 ,一 定 要 在 假定 体制 被 敌 方 所 知 
的 情形 下 也 不 易 由 密 文 得 到 明文 ,更 不 能 得 到 
所 用 的 密 铀 . 
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格言 4: 表面 的 复杂 性 可 能 是 虚构 的 ,可 能 产生 
安全 的 错觉 ， 


多 数 加 密 方法 全 加 在 一 起 ,并 不 一 定 使 密 
码 更 为 安全 ,往往 会 把 加 密 性 能 相互 抵消 . 所 
以 ,设计 加 密 和 解密 比较 简单 而 保密 性 能 又 强 
的 密码 体制 ,是 密码 学 的 主要 目标 ,这 需要 创新 
的 思想 和 高 度 的 技巧 和 构思 . 

以 上 我 们 通俗 地 介绍 了 设计 密码 和 攻击 密 
码 的 基本 原则 ,指出 攻击 密码 的 几 种 方式 ,设计 
密码 应 当 遵循 的 一 些 标准 . 今后 在 介绍 各 种 密 
码 体制 时 ,我 们 将 按照 这 些 原则 和 标准 来 评判 
密码 的 好 坏 和 抵抗 各 种 攻击 方式 的 能 力 . 我 们 
也 简要 地 说 明 针对 各 种 密码 体制 的 破译 方法 ， 
但 限于 本 书 的 篇 幅 ,对 于 密码 分 析 学 方面 的 内 
容 不 作 过 多 的 介绍 ,因为 破译 比 设计 密码 更 加 
复杂 , 既 使 举例 子 也 需要 用 相当 长 的 密 文 进行 
破译 ,才能 说 明 问题 . 

保密 通信 要 求 这 项 工作 本 身 具有 很 强 的 保 
密 性 ,长 期 以 来 ,密码 设计 、 破 译 工作 以 及 相关 
的 工作 人 员 受 到 各 国政 府 的 严格 控制 . 二 战 时 
期 ,在 日 本 德国 和 美国 内 部 ,海军 和 陆军 的 密 
码 都 相互 独立 和 保密 . 一 个 好 的 密码 不 仅 自 认 


为 性 能 好 ,而 且 要 经 得 起 别人 攻击 ,但 是 对 政 方 
攻击 的 状况 是 不 得 而 知 的 ,敌我 双方 在 暗中 角 
斗 , 甚 至 进行 有 意 的 相互 欺骗 ,充满 了 神秘 色彩 
和 高 度 的 刺激 性 . 在 过 去 几 十 年 里 ,一 些 众 所 周 
知 的 数学 家 突然 从 学 术 会 议 等 公共 场合 消失 ， 
人 们 看 不 到 他 们 公开 发 表 的 论文 ,全 传言 从 事 
保密 通信 去 了 . 1976 年 发 明 公 开 密 码 体 制 之 后 ， 
科学 家 们 公开 讨论 这 种 密码 的 方案 和 技术 ,在 
美国 曾 引起 政府 部 门 和 科学 家 之 间 的 冲突 , 当 
局 认为 私人 部 门 研究 密码 学 无 异 于 私人 研究 原 
子 能 武器 ,要 对 研究 和 开发 密码 的 公司 和 个 人 
加 以 限制 和 监督 ,正式 公开 出 版 物 要 有 政府 的 
许可 证 . 而 公众 一 方 则 认为 这 样 做 违反 了 美国 
宪法 . 1987 年 美国 国会 通过 了 计算 机 安全 法 案 ， 
还 设立 了 安全 与 保密 顾问 委员 会 ,1993 年 对 部 
分 密码 学 家 发 布 了 限制 性 的 通告 ,要 求 私 人 使 
用 的 密 钥 要 由 政府 采取 强制 性 的 托管 ,引起 科 
学 家 与 政府 之 间 的 冲突 . 

近年 来 , 随 着 保密 在 经 济 、 管 理 和 生活 领域 
的 广泛 蔓延 ,保密 系统 科学 性 的 增强 需要 数学 
家 .通信 与 计算 机 专家 的 通力 合作 ;情况 已 发 生 
很 大 的 变化 ,密码 学 逐渐 走向 公开 ,一 个 标志 性 
事件 是 美国 于 1977 年 1 月 15 日 正式 公布 了 正 


在 实施 的 数据 加 密 标准 DES, 并 公开 鼓励 外 人 
进行 攻击 ,以 检验 其 安全 性 . 1998 年 7 月 ,电子 
边境 基金 会 (EFF) 用 一 台 价 值 25 万 美元 的 计 
算 机 在 56 小 时 内 成 功 地 破译 了 DES. 2000 年 
10 月 2 日 ,美国 商务 部 以 国际 范围 内 征集 的 15 个 
候选 算法 中 评选 出 一 个 由 荷兰 人 给 出 的 更 高 级 
加 密 标准 AES 来 代替 DES, 并 于 2002 年 5 月 
26 日 正式 生效 ,到 目前 为 止 ,经 过 几 年 的 分 析 和 
测试 ,没有 发 现 明显 的 缺点 和 漏洞 ,能 抵抗 目前 
已 知 的 各 种 攻击 方法 ,但 是 对 AES 的 破译 努力 
在 世界 各 地 仍 未 停止 . 

密码 研究 和 破译 工作 有 很 长 的 历史 ,但 一 
直到 1967 年 才 有 公开 著作 . 卡 恩 搜集 和 整理 了 
一 战 和 二 战 时 期 的 大 量 史料 ,公开 出 版 了 《破译 
者 ) 一 书 . 近年 来 ,密码 学 和 密码 分 析 学 的 专著 
和 教科 书 已 大 量 出 现 , 并 且 已 成 为 通信 计算 机 
和 应 用 数学 专业 的 大 学 生 和 研究 生 的 课程 . 从 
20 世纪 80 年 代 起 出 现 了 密码 学 方面 的 科学 杂 
志 , 公 开 登 载 保密 通信 的 技术 和 数学 研究 论文 . 
在 欧美 和 亚洲 ,现在 几乎 每 年 都 召开 密码 和 信 
息 安全 方面 的 国际 会 议 ,并 迅速 地 出 版 会 议论 
文集 . 信息 安全 已 不 再 是 神秘 的 事情 ,而 是 政 
府 \ 企 业 家 和 科学 家 的 共同 事业 ,不 同 领域 专家 


SS 


二 


的 交流 与 合作 正在 促进 信息 安全 事业 的 莲 勃 
发 展 . 

下 面 几 节 ,我 们 将 沿 着 历史 的 足迹 ,由 简单 
到 复杂 地 介绍 密码 体制 的 一 些 例子 ,并 且 结 合 
这 些 例 子 讲述 所 需要 的 数论 知识 ,以 及 数论 在 
密码 中 的 应 用 . 


vg 凯撒 密码 一 一 整除 和 同 余 


罗马 帝国 的 凯撒 (Caesar) 大 帝 在 《高 卢 战 
记 ) 一 书 中 ,描述 他 把 密 信 送 给 被 敌人 围困 的 西 
塞 罗 , 但 并 未 讲述 加 密 的 方法 . 在 公元 2 世纪 苏 
托尼 厄 斯 写 了 《凯撒 传 》, 对 于 凯撒 密码 有 详细 
的 介绍 ,这 种 密码 使 用 了 数论 的 同 余 和 同 余 运 
算 .我 们 首先 介绍 有 关 的 数论 知识 :整数 的 分 解 
和 同 余 性 质 . 这 些 性 质 基本 上 在 中 学 都 学 过 ,这 
里 主要 是 明确 一 些 术语 和 数学 符号 . 


数论 是 研究 整数 性 质 的 一 门 学 问 . 今后 用 
Z 表示 全 体 整数 组 成 的 集合 . 整数 可 以 进行 加 、 
减 , 乘 运算 . 数学 上 把 这 种 具有 加 减 乘 运算 的 集 
合 叫 作 是 一 个 环 . 所 以 Z 称 作 是 整数 环 . 另 一 方 


面 ,两 个 整数 和 8(4 天 0) 相 除 ,全 不 一 定 是 整 
数 ,由 此 产生 了 数论 的 一 个 基本 概念 :整除 性 . 
设 a 和 4 是 整数 (5 取 0). 如 果 全 是 整数 , 即 


存在 整数 使 得 a 二 bc, 则 称 5 整 除 a( 或 称 a 被 
b 整除 ) ,表示 成 由 a. 这 时 8 叫 a 的 一 个 因子 (或 
约 数 ) ,而 a 叫 6 的 倍数 . 如 果 8 不 整除 a ,表示 
成 bla. 

设 wm ,…,a 是 不 全 为 零 的 整数 ,它们 最 大 的 
正 公 因 子 叫 作 wa ,…,a 的 最 大 公 因 子 , 表 示 成 
(a ,…,a;). 例 如 (一 6,10,0)==2, 如 果 (a,6)=1， 
邑 整数 a 和 5 没有 大 于 1 的 公 因 子 , 称 a 和 6 互 
素 . 类 似 地 , 若 整 数 a1 ,… ,a, 均 不 为 零 ,它们 有 最 
小 公 倍数 ,表示 成 [a ,… ,a]. 

一 个 大 于 1 的 整数 p 叫 作 素数 (或 质数 )， 
是 指 除 了 1 和 嫁 之 外 没有 其 他 正 因 子 , 热 知 在 
100 以 内 共有 25 个 素数 ,它们 是 :2,3,5,7,11， 
13,17,19,23,29,31,37,41,43,47,53,59,61， 
67,71,73,79,83,89,97. 公元 前 3 世纪 和 希腊 数 
学 家 欧 几 里 得 就 证 明了 :素数 有 无 穷 多 个 . 

比 整除 性 更 细致 的 一 个 概念 是 整数 的 同 
余 性 ， 

设 m 是 正 整数 ,a 和 2 是 整数 . 如 果 a 一 6 


被 m 整除 , 即 m| (a 一 5), 则 称 a 和 4 模 m 同 余 . 
用 德国 大 数学 家 高 斯 发 明 的 记号 ,a 和 4 模 加 
同 余 ,表示 成 : 

a 三 b (modm). 
如 果 mx* (a 一 b), 称 a 和 6 模 m 不 同 余 , 表 示 成 
ub( modm). 

大 家 知道 有 如 下 的 带 余 除法 :对 于 正 整 数 
m 和 整数 a ,有 唯一 的 整数 q 和 ,满足 

二 
其 中 gq 和 7 分别 叫 作 以 m 去 除 a 的 商 和 余数 . 
根据 同 余 定义 可 知 ,a 和 46 模 m 同 余 当 且 仅 当 
用 立 去除 <c 和 6 有 相同 的 余数 . 特别 地 ,a 三 
0(modm) 当 且 仅 当 m 整除 a. 而 一 般 地 ,每 个 整 
数 模 m 恰好 同 余 于 0,1,2,…,m 一 1 当中 的 一 
个 整数 . 

和 通常 等 式 一 样 , 同 余 式 也 可 进行 加 减 乘 
运算 . 也 就 是 说 : 

如 果 a 三 b(modm),c 三 d(modm), 则 a 十 三 
btd(modm),a— cb— 4d (modm)， ac 三 
bd( modm). 

证 明 也 并 不 困难 ,以 乘法 为 例 ,由 假设 和 
ml(a—b) ,ml (ce—ad), 于 是 ml (a— 0b)6, 
mlb(c—q). 所 以 ml(a 一 b)c+b(c—d)=ac— 
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bd ,Blac=bd (modm). 


数论 暂时 就 介绍 到 这 里 ,现在 谈 凯 撤 密码 . 

为 方便 起 见 , 我 们 以 英文 为 例 ,把 英文 26 个 字 
母 依次 对 应 于 数字 0,1,2,… ,25. 

A 

了 搁 

NO POR SEU WW RY 

13 14 15 16 17 18 19 20 21 22 23 24 25 
取 0 到 25 之 中 的 一 个 整数 作为 密 钥 ,例如 取 
& 一 10. 加 密 运算 是 对 每 个 英文 字母 ,将 它 表示 的 
整数 i 按 模 26 方式 加 上 10 成 为 i 十 10(mod26). 
然后 把 这 个 字母 改 成 i 十 10(mod26) 所 对 应 的 字 
母 .例如 工 用 数字 19 作 代表 ,而 19 十 10 三 29 三 
3(mod26) ,数字 3 表示 字母 D, 所 以 在 明文 中 所 
有 字母 工 都 改 成 D. 也 就 是 说 ,每 个 字母 用 在 它 
后 面 10 位 的 那个 字母 来 代替 ,由 于 采用 了 模 26 
相 加 , 25 十 1 三 26 夺 0(mod26), 所 以 末尾 字母 
Z( 二 25) 的 后 面 又 返回 到 头 一 个 字母 A(=0)， 

比如 ,发 方 想 传 送 明 文 battle on Tuesday. 采 

用 密 钥 = 10, 得 到 密 文 LKDDVOYXDEOC- 
NKI. 加 密 过 程 可 表 成 如 下 算式 


医生 (六 ) 
-101919114 141319204 183 0 24(z) 
一 10 10 10 10 10 10 10 10 10 10 10 10 10 10 10 ( 密 铀 ) 


ll1 10 3 3 21 14 24 23 3 4 142 13108 
(加 密 :E(zx)=y 三 x 十 10(mod26)) 


LKDDVOYX DEO CN K 1 ( 密 文 ) 

今后 用 下 和 了 D 分 别 表示 加 密 (encoding ) 运 
算 和 解密 (decoding) 运 算 .凯撒 密码 的 加 密 运 算 
就 是 把 明文 x 变 成 y= D(x) 三 z+ 十 10(mod26)， 
而 解密 运算 D 为 E 的 逆 运 算 ,即将 密 文 y 模 26 
减 去 10 (也 就 是 加 16): D(y) 三 yy 一 10 三 
x(mod26). 例如 明文 中 字母 T= 19 加 密 变 成 
19 十 10 寺 3(mod26), 即 人 改 用 字母 D, 而 密 文 
字母 D=3 解密 成 3 一 10 三 一 7 三 19(mod26) ,又 
变 回 到 明文 字母 T=19. 加 密 和 解密 都 是 容易 
实现 的 运算 . 这 种 密码 体制 的 特点 是 :每 个 字母 
i 的 位 置 不 变 ,但 替换 成 另 一 个 字母 i 十 
10(mod26). 所 以 是 替换 式 密码 体制 . 

现在 我 们 分 析 这 种 密码 体制 的 保密 性 能 ， 
初 看 起 来 ,似乎 完全 看 不 懂 上 面 密 文 的 意思 . 但 
实际 上 它 的 保密 程度 并 不 高 . 这 种 体制 的 主要 
缺点 是 :明文 中 同一 个 字母 都 替换 成 同一 个 字 
尽 , 即 i 均 替 换 成 i 十 10(mod26). 在 英语 中 有 些 
字母 (如 e,t,a,0) 出 现 次 数 较 多 ,而 另 一 些 字 母 
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(如 x,y,q) 则 很 少 出 现 , 在 敌 方 截取 足够 长 的 密 
文 之 后 ,他 可 把 密 文中 出 现 次 数 多 的 字母 试 着 
在 对 应 通常 英语 中 出 现 频率 大 的 一 些 字母 ,如 
果 试 几 次 可 暴露 出 一 段 明 文 , 便 可 猜 出 采用 的 
是 凯 撤 密码 体制 ,并 且 只 需 由 一 个 明文 x 和 窗 
文 y 字母 的 对 应 就 可 得 到 密 钥 & (三 y 一 
xz(mod26)). 然后 敌 方便 可 把 所 有 密 文 恢 复 成 
明文 .即使 我 方 更 换 了 密 钥 &, 由 于 政 方 已 知 密 
码 体制 ,也 可 容易 猜 出 新 的 密 钥 ,因为 密 钥 太 
少 ,只 有 26 个 ,他 可 以 逐个 去 试 . 从 上 述 可 知 ， 
密码 分 析 所 采用 的 数学 工具 是 概率 统计 方法 ， 
这 是 早期 用 于 破译 密码 的 主要 方法 . 

凯 撤 密码 虽然 很 不 安全 ,但 也 曾 使 用 过 一 段 
时 间 . 1915 年 ,俄国 军队 还 在 使 用 这 种 密码 ,使 奥 
地 利和 普鲁士 的 密码 分 析 学 家 感到 非常 惊讶 . 


三 


收 到 密 文 GRPDVEFN, 你 能 否 试验 它 是 
否 采用 的 凯 撤 密 码 体制 ? 能 否 恢 复 成 明文 ? 


4 维 吉 尼 亚 密码 一 “周期 序列 


凯 搬 密码 的 缺点 是 字母 采用 单一 替换 方 
式 , 密 钥 量 太 少 而 且 密 钥 太 短 . 1586 年 法 国外 交 
官 和 密码 学 家 维 吉 尼 亚 (Blaise de Vigenere) 把 
凯撒 加 密 方式 作 了 改进 .凯撒 密码 的 密 钥 是 用 
一 个 数字 &= 10 简单 地 重复 成 序列 10, 10， 
10,… 与 明文 模 26 相 加 . 维 吉 尼 亚 密码 则 增加 
密 钥 的 长 度 . 比如 说 发 方 和 收 方 约定 以 finger 
作为 密 钥 , 它 的 数字 表示 为 (5,8,13,6,4,17). 
加 密 时 将 明文 序列 与 以 这 6 个 数字 不 断 重复 的 
周期 序列 

5,8,13,6,4,17,5,8,13,6,4,17,.… 

进行 模 26 相 加 ,比如 明文 仍 为 battle on Tues- 
day, 加 密 过 程 为 
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battleontuesday (明文 ) 
十 1 0191911 4 141319204183 0 24 (z) 
58136 4175 8136 4175 813 ( 密 钥 序列 ) 
6 8 625152119216 0898811 (y=E(z)) 
GI1IGZPVTVGAITTIITE (Cy) 


明文 中 前 两 个 字母 t 被 加 密 成 不 同 的 字母 ， 
G 和 2Z, 而 密 文中 前 两 个 字母 G 也 来 自明 文中 
不 同 的 字母 5 和 上 这 种 加 密 方式 比 凯撒 密码 的 
性 能 好 , 收 到 密 文 后 , 模 26 减 去 密 钥 序列 便 恢 
复出 明文 . 在 破译 方面 ,对 于 这 种 密码 首先 由 密 
文 决定 密 钥 的 周期 长 度 ( 上 面 密 钥 finger 的 长 
度 为 6) ,然后 再 决定 密 钥 ,而 密 钥 序列 是 不 断 重 
复 密 钥 数字 的 一 个 周期 序列 . 破译 专家 已 给 出 
一 些 方法 破译 维 吉 尼 亚 密码 ,采用 更 高 深 的 统 
计 和 其 他 工具 ,这 里 就 不 介绍 了 . 维 吉 尼 亚 密码 
在 19 世纪 中 期 才 被 破译 . 

维 吉 尼 亚 密码 在 加 密 和 解密 时 ,每 位 作 模 
26 的 加 法 和 减法 ,这 是 容易 实现 的 . 问题 在 于 密 
钥 序 列 不 是 一 个 数字 重复 ,而 采用 多 个 数字 重 
复 的 序列 . 在 前 面 例子 中 密 钥 finger 共有 6 个 
字母 , 密 钥 序列 是 6 个 数字 (5,8,13,6,4,17) 不 
断 重复 的 周期 序列 (周期 长 度 为 6). 加 密 和 解密 
都 是 采用 机 械 式 的 加 密 机 来 进行 . 它 是 一 些 同 


心 圆 的 圆 盘 , 外 轮 可 以 转动 . 将 圆周 分 成 26 等 
分 ,依次 标 上 字母 a,5,c,…,zx,y,z. 由 于 是 圆 
盘 ,z 和 a 首尾 相连 . 将 两 个 圆 盘 错开 3 位 , 则 内 
轮 的 < 对 应 外 轮 的 DD ,内 轮 的 5 对 应 外 轮 的 EE， 
这 种 对 应 就 是 模 26 相 加 3. 如 果 用 长 为 6 的 密 
钥 (5,8,13,6,4,17), 则 需要 6 个 活动 的 外 轮 ， 
与 内 轮 分 别 错开 5,8,13,6,4,17 位 ,为 了 加 密 
更 可 靠 , 自 然 想到 密 钥 长 度 ( 即 密 钥 序 列 的 周期 
长 度 ) 愈 大 愈 好 . 目前 在 电子 通信 中 使 用 的 密 
钥 , 长 度 都 在 10* 以 上 .使 用 有 这 么 多 圆 盘 的 机 
械 式 加 密 机 是 不 可 能 的 . 但 是 在 电子 通信 中 有 
一 种 快速 而 方便 的 电子 元 件 , 它 可 以 产生 大 周 
期 序列 ,我 们 在 下 节 介 绍 这 种 电子 元 件 : 移 位 寄 025 
存 器 . 


5 流 密码 一 一 移 位 寄存 器 


在 电子 通信 中 ,脉冲 信号 只 取 有 限 个 可 能 . 
假设 有 mx 个 可 能 (m 宇 2) ,并 且 在 数学 上 不 妨 表 
示 成 0,1,2,…,m 一 1. 组 成 一 个 mm 元 集合 Z， = 
10,1, ,7 一 二 .比如 ,在 凯撒 密码 和 维 吉 尼 亚 
密码 中 ,m 二 26. 对 于 每 个 正 整数 ”我 们 可 以 定 
义 一 个 集合 

有 二 人 0 
由 于 每 个 a; 在 Z。 中 选取 都 有 m 个 可 能 ,所 以 
共有 mm" 个 可 能 的 (a1,… ,a,), 即 集合 Z% 共有 
m" 个 元 素 , 比 如 Zs 共有 8 个 元 素 :2;=1(0,0， 
0 (QO 0 0 (QL ON (0 1 (1 0050 ,C6105 
Dea(lsl 0 (Lal Eb 

Zr 上 的 一 个 半 元 函数 (zi ，,…,z,) 就 是 从 


ZZ 到 2 的 一 个 映射 
f= f(s Zs 

它 把 每 个 (wa ,… ,a,) EZ 映 成 Z。 中 一 个 确定 
的 元 素 , 记 成 f(a ,… ,a). 所 以 要 刻画 一 个 Z。 
上 的 nn 元 立 数 f(z ，,…,z,) ,我们 可 以 把 每 个 
(aa) 和 它 对 应 的 图 数 取 值 f(ai,… ,a,) 
列 成 一 个 表格 , 叫 作 函数 f 的 取 值 表 . 比如 当 
办 一 2,7 一 3 时 ,2: 王 10,1| 上 的 3 元 函数 f(zxi， 
zavzs) 可 表示 成 

(ai vazyas) | (0,0,0) (0,0,1) (0,1,0) (0,1,1) 
flarsassas)|f(0,0,0) f(0,0,1) f(0,1,0) f(0,1,1) 
(wyazyas) | (1,0,0) (1,0,1) (1,1,0) (1,1,1) 
i f(1,0,0) f(1,0,1) f(1,1,0) /(1,1,1) 


两 个 函数 f(z1,… ,zx) 和 g(x ,… ,zx,) 叫 
作 是 相等 的 ,是 指 对 每 个 (a ,… ,a,),/ 和 gg 在 
(ql,…,an) 的 取 值 均 相 等 , 即 f (ai,…,a,) = 
8(Q1,… ,4,). 由 于 对 每 个 (a1,… ,a,), 函 数 取 值 
均 有 zw 个 可 能 性 ,而 自 变量 (a ,…,a,) 共 有 ze 
个 ,所 以 Z; 上 的 n 元 函数 一 共有 m” 个 .比如 
当 m=2 时 ,每 个 Z: 上 的 元 函数 :2 一 2 
通常 叫 作 元 布尔 函数 . 二 元 布尔 函数 /= 
Frivza) 共 有 2 一 16 不 .这 16 个 二 元 布尔 函 
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数 的 取 值 表 为 


(0,0) (0,1) (1,0) (1,1) 


万 三 0 
户 王 1 十 zz 十 zz 十 Zizaz 
fi=x: trixs 
f=1+z, 
fe=z1tzixs 
fo=1+z; 

fr=xi Tx 
卢 王 1 十 zizs 
fy=xixs 
Jo 一 1 十 2 十 zz 
fui= x 
fi:=1+zi+ zi xs 
太一 并 

=1 十 zz 十 zizaz 
fis=x1+ zt zx 
太一 


从 表 中 可 以 看 到 ,每 个 布尔 函数 f(zi ,xz; ) 都 可 
表示 z 和 xz; 的 多 项 式 ,例如 方 (zi,zs) 是 函数 
f1(0,0)=f7(1,1)=0,f;(0,1)=f7(1,0)=1, 
容易 验证 zi 十 x; 的 取 值 的 fr (zi,x;) 完 全 一 
致 ,因为 0 十 0=1 十 1=0,0 十 1 二 1 十 0 二 1( 注 意 
在 Zs 中 :1 十 1=0), 所 以 PP (zz ) 一 Zi 十 zz， 
我 们 在 第 6 节 再 讲述 :给 了 一 个 布尔 函数 
(zz,… ,zs) 的 取 值 表 , 如 何 把 它 表示 成 x ,…， 


OO OP ~ OO OP 一 oO 
六 
号 


一 


xz 的 多 项 式 形 式 . 

Zn 上 一 个 nn 级 的 移 位 寄存 器 (以 下 简称 为 
移 存 器 ) SR( /) (shift-registor) 可 用 图 3 表示 ， 
它 由 两 部 分 组 成 : 


( 移 位 寄存 ) 


aid203…( 输 出 ) 
(反馈 ) 


(计算 ) 
图 3 移 位 寄存 器 


(1) 移 位 寄存 部 分 ,可 存放 位 数字 ,每 位 
数字 均 属 于 2Z, = 二 10,1,2,…,m 一 1} . 

(2) 计算 部 分 ,将 移 存 部 分 的 内 容 输 入 , 计 
算 f(zi,… ,xz;) 的 值 ,这 里 f= 了 (zi,*…, xz,): 
如 一 Z。 是 Za 上 的 nn 元 函数 , 叫 作 移 存 器 
SR(/) 的 反馈 函数 ,再 将 此 函数 值 反 馈 到 移 位 
部 分 的 最 后 一 位 . 

移 存 器 的 工作 情形 如 下 :开始 时 移 存 器 装 人 
(aas), 叫 作 初始 状态 (如 图 3 所 示 ). 在 下 一 
时 刻 ,这 些 数字 向 左 移 一 位 ,好 av ,a，1,…,as 分 
别 移 到 ww ia ,al 的 位 置 上 ,将 a 输出 ,与 


SP 


此 同时 ,计算 awt+1 二 f(a ,ez ai) ,并 且 把 as 
反馈 到 移 存 部 分 的 最 后 一 位 处 ,所 以 这 时 移 存 器 
的 状态 为 (az ,a ,…,ant1). 类 似 地 ,再 下 一 时 刻 ， 
az 输出 ,a3,…,art! 分 别 向 左 移 一 位 ,同时 计算 
as 一 Fa yas,"… ,ant1), 并 且 把 a+: 反馈 ,于 是 
移 存 器 的 状态 成 为 (a2 ,a3，… ,anti ,4antz). 如 此 不 
断 继 续 下 去 , 移 存 器 便 输出 (或 叫 产生 )Z。 上 一 
个 序列 a ,az ,as ,…,anyani1，…, 其 中 
anH 一 (aiyai+ly Ain-1) (i=1,2,3,.). 
例 5.1 取 2Zs=10,1,2} ,f(zx1,zi)=xz! 十 
Tz 十 1 ,下 面 是 以 为 反馈 溺 数 的 2 级 移 存 器 . 


QIG2G3 


f=xtxztl 


取 初 始 状 态 (ai ,az )=(0,0) , 则 
as=f(ai,az)=/f(0,0)=0+0++1=1, 
=f(as,a3)=f(0,1)=0+1+1=2, 

a; 三 f(a3,41) 三 1 十 2 十 1=1( 模 3 加 法 运算 ) ,… 
便 得 到 序列 (a,s 二 as+1 十 a, 十 1) 
aias*…*=001211020012110200.…. (*) 


从 初始 状态 (0,0) 经 过 8 步 又 出 现 初始 状态 
(0,0) ,所 以 它们 的 后 边 都 应 为 f(0,0)=0 十 0 
+I=1, 即 它们 的 下 一 状态 都 是 (0,1). 于 是 再 
下 面 的 数字 又 均 为 f(0,1)==0 十 1 十 1=2. 这 就 
表明 ,以 (0,0) 为 初始 状态 ,这 个 移 存 器 生成 周 


期 长 度 为 8 的 周期 序列 (00121102). 

如 果 初 始 状 态 为 (01) ,因为 (01) 是 序列 
(* ) 的 第 二 个 状态 ,所 以 生成 的 序列 就 是 将 
(*) 中 去 掉 第 一 位 .而 得 到 的 序列 
012110200121102001:… 二 (01211020) 这 个 序 
列 叫 作 与 序列 ( * ) 平 移 等 价 . 周期 序列 ( * ) 中 
共 出 现 8 个 不 同 的 状态 : (00),(01),(12)， 031 
(21),(11),(10)(02) 和 (20). 以 这 8 个 不 同 状 
中 任意 一 个 作为 初始 状态 ,生成 的 序列 都 是 与 
(* ) 平 移 等 价 的 序列 ,即将 ( * ) 分 别 去 掉 0 
位 ,1 位,… ,7 位 而 得 到 的 序列 ,它们 的 周期 长 
度 均 为 8. 

Zs 上 长 为 2 的 状态 (al ,az ) 共 有 3: 一 9 个 
可 能 .除了 上 述 8 个 状态 之 外 ,还 剩 下 (a ,az ) 一 
(2,2). 以 它 为 初始 状态 ,这 个 移 存 器 生成 周期 


长 度 为 1 的 序列 : 2222 … = (2), 这 是 由 于 
f(2,2)=2 十 2 十 1==2。 
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如 果 把 反馈 函数 改 成 
(ziyzz) 一 1 十 2zi 十 zz 十 2z3 十 2ziz， 

从 初始 状态 (0,0) 开 始 ,后面 的 状态 依次 为 
(0;0),(0,1),(1,1),(1,2),(2,0),(0,2), 
人 
其 中 前 9 个 状态 彼此 不 同 ,下 一 个 状态 又 回 到 
原始 状态 (0,0) 所 以 生成 周期 序列 (周期 长 度 为 
9) , 它 的 前 9 位 即 是 由 前 9 个 状态 的 第 1 位 组 


成 的 (001120221). 生成 的 序列 为 (001120221). 
由 于 全 部 9 个 状态 在 此 序列 中 均 出 现 ,可 知 从 
任意 初始 状态 出 发 ,生成 的 序列 都 是 上 述 序列 
的 平移 ,从 而 周期 长 度 均 为 9. 换 句 话说 ,这 个 移 
存 器 生成 的 序列 是 9 个 彼此 平均 等 价 的 周期 序 
列 , 周 期 长 度 均 为 9. 

例 5.2 取 2,=10,1|}( 加 法 为 模 2 相 加 : 
1 十 1=0). 考虑 2Z; 上 F(zi,zzyz) 一 1 十 zi 十 | 
Zs 十 Toxs 为 反馈 男 数 的 3 级 移 存 器 . 以 (0,0,0) 
为 初始 状态 ,生成 周期 长 度 为 8 的 二 元 序列 


(00011101)8 个 可 能 的 状态 (0,0,0), (0;0,1)， 
(6 a i Rh ey Bs Ge) L(G le Ph ty WY IB 
(1,0,0) 均 出 现 . 所 以 这 个 移 存 器 生成 的 序列 是 


(00011101) 的 8 个 平移 等 价 序列 . 


如 果 取 反馈 函数 f(z1, zs, xs)= x3, 则 以 
(0,0,1) 为 初始 状态 ,生成 序列 (00111…)= 


(001) ,这 是 从 第 3 位 开始 重复 的 周期 序列 . 

从 以 上 例子 可 知 : 

(1) Z。 上 的 n 级 移 存 器 产生 的 序列 都 是 周 
期 序列 ,这 是 由 于 Zr 上 长 为 的 状态 共有 mm? 
个 .从 初始 状态 出 发 ,连续 mr" 十 1 个 状态 当中 必 
有 两 个 状态 相等 ,于 是 它们 后 面 的 数字 也 都 一 
样 ,所 以 周期 性 地 重复 . 

(2) Z。 上 nn 级 移 存 器 产生 的 周期 序列 ,其 
周期 长 度 人 mm" ,这 是 由 于 (1) 中 所 述 两 个 相同 状 
态 相 差 的 步 数 志 m". 进而 ,序列 的 周期 长 度 为 最 
大 值 m", 当 且 仅 当 从 初始 状态 开始 连续 xz" 个 
状态 彼此 不 同 , 而 下 一 状态 又 回 到 初始 状态 . 

Z。 上 nn 级 移 存 器 生成 的 最 大 周期 长 度 m” 
的 序列 ,最 适合 于 用 来 作为 维 吉 尼 亚 密 码 中 的 
密 钥 . 目前 采用 Z: 上 移 存 器 ,级 数 n 一 般 在 30 
以 上 ,生成 2 元 周期 序列 的 周期 长 度 宇 2”. 这 种 
序列 在 保密 通信 中 很 重要 ,所 以 给 它 一 个 名 称 . 

定义 5.3 m 之 2,Z, 上 一 个 周期 长 度 为 m” 
的 周期 序列 

A=(aias'"an" ) 


叫 作 是 天 元 的 级 M 序列 ,是 指 长 为 ”的 连续 
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m" 个 状态 
(aiaz…an) (dsaa antl) (am ;Q0""*an 1) 
彼此 不 同 (从 而 恰好 是 所 有 可 能 的 mr" 个 状态 ). 
比如 在 前 面 例 5.1 中 ,Zs 上 以 f(zi,z;)= 
1 十 2z: 十 zz 十 2 好 十 2ziz 为 反馈 函数 的 2 级 移 


存 器 ,生成 3 元 2 级 M 序列 (001120221) 和 它 
的 平移 等 价 M 序列 . 例 5.2 中 Z: 上 以 f(x， 
Xz ,7Z5) 一 1 十 z + 十 zzzs 为 反馈 函数 的 3 级 


移 存 器 生成 2 元 3 级 M 序列 (00011101) 和 它 
的 平移 等 价 M 序列 . 

M 序列 除了 周期 长 度 m" 最 大 之 外 , 它 还 
有 下 面 所 述 的 很 好 的 统计 平衡 特性 . 所 以 作为 
密 钥 破 译 比较 困难 . 

定理 5.4 设 (a1as…am) 是 m 元 n 级 M 
序列 . 则 a1 ,a ,…,am 当中 每 个 a€ 2 = {0,1， 
2,…,m 一 1 都 出 现 2 一 :次 .在 aiaz yazas 
am-iQm ,Qmail 这 m" 个 二 位 数组 当中 ,每 个 
ab(a ,bE Zr) 都 恰好 出 现 m" 次 .一 般 地 ,对 每 
个 1(1 过 in), 在 Qld2 QQ203 CI 
amal…ai-! 这 m" 个 ! 位 数组 当中 ,每 个 可 能 的 
pp ，… ,bE 2 ) 都 恰好 出 现 2 次 ， 

证 明 我 们 知道 (根据 定义 ), aas a， 


alimamanal…an-1 恰 好 是 z2" 个 不 同 
的 状态 . 对 于 每 个 i(1 志 1 寺 n),al i 
ayawa ai 恰好 分 别 是 这 m" 个 不 同 
状态 的 前 7 位 数字 ,对 于 每 个 b6b,… bi (5,…， 
bE Zn) ,以 b1bs…bi 开头 的 状态 5162…bizir1*… 
站 共有 六 "个 可 能 ,因为 天 一 和 个 二 
在 Z。 中 选取 方式 共有 m" “个 ,所 以 在 m" 个 不 
同 状态 中 以 6152…b 开头 的 状态 共 m*!' 个 ,于 
是 aaiyaz aanmadl el 当 中 为 


bba…b! 的 共 出 现 mR 这 就 证 明了 定理 . 


比如 对 于 2 元 3 级 MM 序列 (00011101), 在 
0,0,0,1,1,1,0,1 当中 0 和 1 各 出 现 4 次 ,在 00， 
00,01,11,11,10,01,10 当中 ,00,01,10,11 各 出 
现 2 次 ,而 000,001,011,111,110,101,010,100 
当中 每 种 状态 各 出 现 1 次 . 

M 序 列 具有 大 的 周期 长 度 和 优良 的 统计 平 
街 特 性 ,并且 容易 由 移 存 器 产生 ,所 以 直到 现在 
仍然 是 加 密 的 基本 手段 ,将 明文 序列 加 上 一 个 
M 序列 ( 密 钥 ) 变 为 密 文 ,这 种 加 密 方式 叫 作 流 
密码 体制 . 

十 是 ,自然 要 问 一 些 问题 :对 于 每 个 m,n 之 
? ,广元 ”级 M 序列 昆 否 一 定 存在 7 如果 存在 ， 
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其 个 数 是 多 少 (作为 流 密码 的 密 钥 , 我 们 希望 有 
很 多 M 序 列 ,可 以 更 换 密 钥 )? 如 何 寻 求 移 存 器 
的 反馈 函数 ,使 移 存 器 生成 M 序列 ? | 

这 些 都 是 流 密码 学 中 的 重要 问题 , 以 下 两 
小 节 讨论 这 些 问 题 ,其 答案 是 密码 学 家 所 满 】 
意 的 . 


veo—— 


习题 五 


Zs 上 以 下 列 f(zi ,zz ,x ) 为 反馈 溺 数 的 3 
级 移 存 器 可 产生 何 种 3 元 序列 ? 
(1) F(zi zazs) 一 zz 十 zs， 
(2) F(zivzzyzs) 一 1 十 Zi 十 2zszs。 


0 M 序列 与 图 论 一 一 周游 世界 
和 一 笔画 


寻求 M 序列 主要 有 两 种 方法 . 一 种 是 代数 
方法 ,这 需要 抽象 代数 中 较 多 的 知识 . 另 一 种 是 
图 论 的 方法 . 我们 这 里 只 介绍 图 论 方法 ,这 种 方 
法 通俗 易 懂 ,并 且 还 与 图 论 中 两 个 有 趣 的 问题 
相 联系 . 

一 个 图 G 由 两 部 分 组 成 :有 很 多 个 顶点 组 
成 的 顶点 集合 以 及 一 些 顶点 之 间 相 连 的 弧 组 成 
的 弧 集合 . 如 图 4 即 是 一 个 图 , 它 有 5 个 顶点 : 
1,2,3,4,5. 顶点 1 到 2 有 一 条 弧 , 表 示 成 下 或 
者 1~2,1 和 2 分 别 叫 此 弧 的 起 点 和 终点 . 可 人 允 
许 顶 点 到 自身 引 一 条 弧 ,如 开 . 也 允许 顶点 之 间 
引 两 条 不 同方 向 的 弧 , 如 或 和 下 . 这 种 图 更 确切 


SN 


的 名 称 叫 作 有 向 图 ,因为 每 条 弧 都 有 方向 . 
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图 4 (有 向 ) 图 


图 论 中 有 许多 有 趣 的 问题 ,这 些 问题 最 初 
大 都 是 一 种 智力 游戏 . 但 后 来 发 现 其 中 许多 问 
题 有 实际 应 用 . 与 M 序列 有 关 的 是 以 下 两 个 图 
论 问题 . 

(I) 哈密 顿 (Hamilton) 周游 世界 问题 . 
1895 年 ,英国 数学 家 哈密 顿 发 明 一 种 游戏 ,把 一 
个 正 12 面体 的 20 个 顶点 分 别 标 上 北京 、 东京、 
纽约 等 20 个 城市 的 名 称 . 要 求 从 某 个 城市 出 
发 , 沿 着 正 12 面体 的 棱 通 过 每 个 城市 恰好 各 一 
次 ,最 后 回 到 原来 的 城市 . 这 种 游戏 在 欧洲 曾经 
风靡 一 时 ,哈密 顿 以 25 个 金币 的 高 价 把 该 项 发 
明 的 专利 卖 给 一 家 玩具 商 . 

用 图 论语 言 ,每 个 城市 为 图 的 一 个 顶点 , 共 


有 20 个 顶点 , 两 个 城市 之 间 有 楼 相连 , 便 在 图 
中 两 个 对 应 顶点 之 间 联 一 条 边 . 图 5 就 是 正 20 
面体 和 由 它 所 画 的 图 . 不 过 这 里 是 无 向 图 , 边 是 
没有 方向 的 ,两 种 方向 都 可 以 走 . 而 有 向 图 中 的 
弧 A 记 则 是 从 A 到 B 的 “单行 路 ”. 


图 5 周游 世界 问题 的 图 


一 般 地 ,给 了 一 个 有 向 图 (或 无 向 图 ) ,如 果 
从 某 个 顶点 出 发 , 沿 着 弧 (或 边 ) 访 问 每 个 顶点 
恰好 一 次 ,最 后 回 到 原来 顶点 ,这 叫 作 图 的 一 条 
哈密 顿 回路 . 比如 图 4 中 从 顶点 1 出 发 , 顺 次 沿 
弧 斑 ,站 ,3 ,对 ,5 访问 顶点 2,3,4,5 之 后 又 回 
到 1 ,就 是 图 4 中 的 一 条 哈密 顿 回路 ,在 图 5 中 


由 城市 1 到 2,3,… ,20 再 回 到 1 ,就 是 图 5 中 的 
一 条 哈密 顿 回路 .给 了 一 个 图 ,决定 它 是 否 有 哈 
密 顿 回路 ,如 何 计算 这 种 回路 的 个 数 ,以 及 是 否 
有 办 法 把 它们 全 都 找 出 来 ,是 一 个 重要 的 图 论 
问题 . 


(D 欧 拉 七 桥 问 题 . 1736 年 , 欧 拉 所 住 城市 
哥 尼 斯 堡 (Konigsberg) 有 图 6(a) 所 示 的 七 座 桥 . 
欧 拉 在 他 的 第 一 篇 图 论文 章 中 间 : 从 A,B,C,D 
这 四 块 地 的 某 处 出 发 ,能 否 通过 每 座 桥 恰 好 一 次 
再 回 到 原 地 ? 欧 拉 的 答案 是 :不 能 . 他 把 A,B,C， 
D 四 块 地 看 成 图 的 四 个 顶点 ,两 块 土地 之 间 的 桥 
看 成 是 联接 对 应 顶点 的 边 . 就 得 到 图 6(b) 无 向 


图 . 现在 的 问题 成 为 :能 否 从 某 个 顶点 出 发 ,经 过 


每 条 边 恰 好 一 次 之 后 再 回 到 原来 顶点 ? 
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图 6 
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一 般 来 说 ,给 了 一 个 有 向 或 无 向 图 . 如 果 从 
某 个 顶点 出 发 , 顺 次 走 遍 图 中 所 有 的 弧 (或 边 )， 
最 后 又 回 到 原来 顶点 ,这 叫 作 该 图 的 一 条 欧 拉 
回路 , 一 个 图 是 否 有 欧 拉 回路 ,如 何 寻 找 欧 拉 回 
路 以 及 计算 欧 拉 回 路 的 个 数 ,也 是 图 论 中 一 个 
重要 问题 

哈密 顿 回 路 和 欧 拉 回 路 是 不 同 的 ,前 者 要 
求 过 每 个 项 点 恰好 一 次 ,不 要 求 每 条 弧 ( 或 边 ) 
者 走 遍 . 而 后 者 要 求 每 条 弧 (或 边 ) 恰 好 经 过 一 
次 ,顶点 可 以 重复 访问 . 形象 地 说 , 欧 拉 回路 是 
以 一 个 顶点 出 发 不 间断 地 把 图 一 笔画 完 再 回 到 
原来 顶点 ,其 中 每 条 弧 ( 或 边 ) 不 许 遗 漏 也 不 许 
重复 , 所 以 这 也 叫 作 “一 笔画 问题 ” 


为 了 说 明 M 序列 与 图 论 的 关系 ,我 们 要 构 
作 一 种 特殊 的 有 向 图 . 设 m,n 之 2, Zu = 10， 
1,…,m 一 1| ,如 下 构 作 有 向 图 G,(m). 将 每 个 
状态 (6 ,…,b,)(b;&€ Zu) 看 成 是 一 个 顶点 ,从 而 
共有 we 个 顶点 .进而 ,对 于 两 个 顶点 B=(& ,…， 
和) 和 C=(c cn) ,如 果 卫 的 后 2 一 1 位 依次 
为 C 的 前 4 一 1 位 , 即 

(bosbas™ sb)= (scr ,C=1) 
(也 就 是 bs=c,b=c2,"* is 
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则 图 中 便 引 一 条 弧 B 一 C, 并 且 还 把 这 条 弧 加 上 
一 个 标记 , 即 这 条 弧 叫 作 是 BC= (hb,…b,c,) = 
(bcicacs), 对 于 m= 二 2,Zs 二 10;1|, 图 7 画 出 
有 向 图 G1,(2),G;(2) 和 G3(2)( 其 中 G;(2) 中 弧 
的 记号 没有 标 出 来 ). 
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图 7 有 向 图 Gi(2),Gz(2) 和 G (2) 


对 于 一 个 m 元 nn 级 M 序列 
(aiaz…ai) (a €E Za, l=7m"), 

由 M 序列 的 定义 知道 ,个 连续 状态 
(六 
恰好 是 图 G, (mm) 的! 二 mw" 个 (全 部 ) 不 同 的 顶 
点 . 而 任意 两 个 相 邻 的 状态 (比如 A= (aias… 


a ) 和 B 三 (az*…asan+t1)), 前 面 状 态 的 后 nn 一 1 
位 分 别 是 后 面 状 态 的 前 n 一 1 位 ,所 以 在 图 
G,(m) 中 恰好 有 一 条 弧 A 记 . M 序列 要 求 连 续 1 
个 状态 过 图 G,(m) 中 每 个 顶点 恰好 一 次 ,又 回 
到 原来 的 状态 (顶点 ), 所 以 ,一 个 m 元 n 级 
M 序列 恰好 对 应 于 有 向 图 G,(m) 中 一 条 哈密 顿 
回路 , 从 而 mw 元 n 级 M 序列 的 个 数 (彼此 平移 
等 价 的 M 序列 看 成 是 1 个 序列 ) 恰 如 等 于 图 
G,(m) 中 哈密 顿 回路 的 个 数 . 

以 图 G;(2) 为 例 , 此 图 中 有 一 条 哈密 顿 回 
路 

(00) 一 (01) 一 (11) 一 (10) 一 (00). 

它 给 出 状态 依次 为 (00),(01),(11),(10) 的 2 


元 2 级 M 序 列 (0011). 又 如 在 图 G,(2) 中 有 哈 
密 顿 回路 
(000) 一 (001) 一 (011) 一 (111) 一 (110) 一 
(101) 一 (010) 一 (100) 一 (000) ， 


从 而 给 出 2 元 3 级 M 序 列 (00011101). 

另 一 方面 ,图 G,(m) 共 有 wr 个 顶点 . 从 每 
个 顶点 (515。…6,) 出 发 均 可 引出 标记 为 (bh ,5b… 
bc) 的 m 条 红 到 顶点 (5be… bc ), 其 中 c=0， 
1,…,m 一 1. 从 而 图 G,(m) 中 共有 m"* m= 二 mm"1? 
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条 弧 . 每 个 (入 2 …p+i ) 都 恰好 是 图 G,(m) 的 一 
条 弧 ,起 点 和 终点 分 别 为 (6…b,) 和 (6b。…bs+1). 
进而 , 若 弧 (bBo*…bs+t ) 和 弧 (a Cz"Cnt! ) 相 连 ， 
则 弛 C(816… bs+i ) 的 终点 (8…b,+1) 必 须 是 弧 
(cececnti) 的 起 点 (G4…c), 这 相当 于 (bo… 
bt1) 三 (a1…c,). 这样 一 来 ,如 果 在 图 G,(m) 中 
画 出 一 条 欧 拉 回路 ,相当 于 每 个 长 为 十 1 的 状 
态 (b16,…ba+1) 各 走 一 次 ( 即 Gu(z) 的 zz 条 弧 


各 走 一 次 ). 并 且 前 一 个 状态 的 后 nn 位 等 于 后 一 . 


个 状态 的 前 位 .这 正好 相当 于 给 出 了 一 个 区 元 
n 十 1 级 M 序 列 ! 所 以 ,图 G,(m) 中 欧 拉 回 路 对 
应 于 m 元 nn 二 1 级 M 序列, 从 而 图 G,(m) 中 欧 拉 
回路 的 个 数 等 于 w 元 n 十 1 级 M 序列 的 个 数 . 
比如 说 图 G:(2) 中 有 如 下 一 条 欧 拉 回 路 ， 
它 的 8 条 弧 为 
(000) 一 (001) 一 (011) 一 (111)- 一 (110) 一 
(101) 一 (010) 一 (100) 一 (1000) ， 
依次 取出 这 些 弧 的 第 1 位 数字 , 便 给 出 2 元 3 
级 M 序列 (00011101). 
又 比如 ,图 8 为 有 向 图 Gi (3)(n=1,m== 
3). 它 有 如 下 的 一 条 欧 拉 回路 ， 
(00) 一 (01) 一 (11) 一 (12) 一 (22) 一 (20) 一 
《02) 一 (21) 一 (10)， 
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图 8 G;(3) 


于 是 给 出 3 元 2 级 M 序列 (001122021), 事 实 
上 ,这 个 有 向 图 共有 24 条 欧 拉 回路 ,所 以 3 元 2 
级 M 序 列 共有 24 个 . 

我 们 说 过 ,对 于 一 般 的 有 向 图 ,计算 其 中 哈 
密 顿 回路 的 个 数 是 非常 困难 的 , 但 是 对 于 有 向 
图 G,(m) , 它 的 哈密 顿 回 路 个 数 ( 即 图 G, 1 (m) 
中 欧 拉 回 路 的 个 数 ) 可 以 用 巧妙 的 代数 方法 计 
算出 来 ,这 个 数 为 

[n= 

由 上 面 所 述 ,可 知 这 正 是 mw 元 n 级 M 序列 的 个 
数 , 比如 ,对 m=2, 这 个 数 ( 即 2 元 4 级 M 序列 
的 个 数 ) 为 Ni 一 22 "于 是 

N:=1(2 元 2 级 M 序 列 只 有 (1100))， 

Ni =22- 一 2(2 元 3 级 M 序 列 有 
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(00011101) 和 (11100010))， 
Ni 一 2 一 16 ,Ni 一 2 5 一 20 ,Ne 一 25，…， 
目前 ,使 用 的 2 元 M 序列 ,其 级 数 在 30 以 
上 , 即 z 之 30. 这 时 有 非常 多 的 M 序列 作为 密 
钥 , 供 使 用 者 选用 和 更 换 . 


习 题 六 


你 能 否 求 出 全 部 3 元 2 级 M 序 列 和 2 元 4 
级 M 序列 ? 


7 M 序列 的 实现 一 一 费 马 小 定 
理 和 布尔 函数 多 项 式 表达 式 


在 上 一 节 , 由 图 G,(m) 的 一 条 哈密 顿 回路 
可 得 到 一 个 mw 元 n 级 的 M 序列 .一 个 工程 师 关 
心 的 是 :如 何 找 到 一 个 n 级 移 存 器 生成 这 个 序 
询 ? 也 就 是 说 ,生成 这 个 M 序列 的 移 存 器 反馈 
项 数 是 什么 ? 

设 (a1az…am") 是 一 个 贡 元 n 级 M 序列 ， 
其 中 a E22 二 10,1,…, 贡 一 1 如果 f(z,…， 
zx) 是 生成 这 个 M 序列 的 移 存 器 的 反馈 函数 ， 
那么 对 于 移 存 器 的 每 个 状态 (aiy airl，…， 
arn-li) 将 它 作 为 了 的 自 变量 取 值 ,函数 值 应 当 
是 ci+w ,有 

2 


(T= 323") (%) 
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由 于 (aiyai+l ,Qitn-1)(1&i<m") 这 rm" 个 状 
态 恰 好 是 m" 个 不 同 的 可 能 状态 ,所 以 (* ) 式 也 
就 是 函数 22 一 Zu。 的 取 值 表 , 即 完全 决定 了 反 ， 
馈 函 数 f. 我 们 的 问题 是 希望 给 出 f 的 一 个 好 
的 表达 式 ,使 得 对 每 个 状态 (6 ,5; ,… ,5,) ,函数 
值 f(b ,…,6,) 能 用 简单 的 代数 运算 ( 即 Z。 中 
的 模 m 加 减 汪 运算) 或 逻辑 运算 求 出 来 . 一 个 自 
然 的 想法 是 : f(z，…, xz,) 能 否 表示 或 zi， 
Zs ，… ,Xn 的 多 项 式 ? 

让 我 们 先 考 虑 m=2, 即 x 元 布尔 函数 的 情 
形 . 这 时 Z: 只 有 两 个 元 素 0 和 1, 容 易 看 出 对 每 
个 整数 a,a? 三 a(mod2). 所 以 在 Z; 中 这 可 写成 
a 二 a. 也 就 是 说 ,水 数 x?* 和 xz 是 由 Zs 到 2 的 
同一 个 函数 , 所 以 了 十 zz 和 zi 十 xix 是 同样 
的 2 元 布尔 消 数 ,因为 zi==x?==zx, zz 二 zzz. 
所 以 若 元 布尔 函数 f(z,…, xz,) 能 表 成 
ZI ，… ,Zn 的 多 项 式 形式 ,那么 x?(n 宇 1) 都 可 改 
成 zi. 即 多 项 式 中 对 于 每 个 x; 的 次 数 均 不 超过 
1. 现在 我 们 证 明 每 个 : 元 布尔 函数 确实 都 可 表 
成 这 种 多 项 式 形式 . 


定理 7.1 每 个 n 元 布尔 函数 f(z,…， 
Zr) ;2 下 Zs 均 可 表示 成 如 下 的 多 项 式 ， 


“(zi 二 bh 十 1)(zz 十 bs 十 1) 
SR (7.1) 
这 是 关于 zi ,… ,xz, 的 多 项 式 (系数 属于 Z。) ,并 
且 对 每 个 x 的 次 数 均 不 超过 1. 进而 ,每 个 元 
布尔 函数 表 成 这 种 多 项 式 的 表 法 是 唯一 的 . 
证 明 ” 先 证 (7.1) 式 的 正确 性 . 我 们 要 证 对 
每 个 (a1,…,an) 如 ,将 (7.1) 式 右边 代入 zi 一 
qi,…,x, 一 a 之 后 , 求 和 式 计算 出 来 的 值 均 为 
f(a1,…,an). 也 就 是 说 ,要 证 明 
2 fb ) (+h + 1) .… 


(eb) ED 
(ub TT) (7.2) 
应 当 为 f(a1，… ,a,). 由 于 是 模 2 运算 ,可 知 当 
《055 二 人 (25050 (加 b= Ar, 70 = 


an ) 时 ， 
(ai 十 到 十 1)…(as 十 名 十 1) 


三 (ai 十 Qi 十 1)…(an 十 an 十 1) 
下 一 
何 则 , 则 至 少 有 一 个 i(L<i<n) ,使 得 6; 关 a;, 即 
b; 二 qj 十 1, 于 是 (ai 十 bj 十 1)=ai 十 a; 十 1 十 1=0， 
从 而 (ai 十 锯 十 1)…(a, 十 到 十 1)=0. 这 表明 ;在 
《7. 2) 式 里 对 如 中 所 有 (下 ,… ,6b,) 求 和 时 ,除了 
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(有 ,pb) 一 (aan) 之 外 ,其 余 项 均 为 0. 于 
是 只 剩 下 ( 户 ，… 包 ) 取 (aa，…,an) 的 一 项 ,从 而 
值 为 F(al ,…，,as)(ai 十 ai 十 1)…(as 十 as 十 1) 一 
(aan). 这 样 证 明了 (7. 1) 式 的 正确 性 ， 

(7.1) 式 的 右边 是 x; ,… ,zx, 的 多 项 式 , 并 
且 对 每 个 xi ,zi 的 次 数 均 不 超过 1. 这 样 的 单项 
式 只 有 
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即 单项 式 有 形式 zt zx* zo… zr ,其 中 每 个 4 
均 取 0 或 1. 从 而 这 样 的 单项 式 共 有 2" 个 . 而 多 
项 式 是 这 2" 个 单项 式 相 加 : 

f= 的 i “Xr Ts 3) 


其 中 每 个 4 均 取 0 或 1 每 个 系数 cu 为 Z: 中 的 


0 或 1. 共 有 2" 个 这 样 的 系数 . 所 以 这 样 的 表达 


式 (7.3) 共 有 2* 个 . 我们 已 经 知道 ”元 布尔 函 
数 共 有 22 个 . 上 面 已 证 每 个 布尔 函数 均 可 表 成 
(7. 3) 形 式 , 而 表达 式 (7.3) 也 恰 有 22 个 可 能 ， 
这 就 说 明 每 个 n 元 布尔 函数 表 成 (7. 3) 多 项 式 
形式 是 唯一 的 ,证 毕 . 


例 7.2 设 2 元 布尔 函数 f(zi ,zz):Zi 一 


2Z: 的 取 值 表 为 
f(0,0) = 1,f(1,0) = 0, 
f(0,1) = 1,f(1,1) = 1, 
将 它 表 成 多 项 式 形式 . 
我 们 可 以 利用 公式 (7.1). 由 于 f(1,0)= 
0, 所 以 求 和 式 中 只 有 (b&b ,6b)= 二 (0,0),(0,1) 和 
(1,1) 三 项 .于 是 
(zzz) 一 (Zi 十 1)(zz 十 1) 十 (zi 十 0 十 1) 
“(wz 二 1 十 1) 十 (zi 十 1 十 1) 
“rll1) 
一 (zl 十 1)(zs 十 1) 十 (zl 十 1)zs 
a 
一 (zl 十 1)(zz 十 zz 十 1) 十 Zizs 
一 1 十 Zi 十 ZaZz。 
在 第 4 节 我 们 列 出 全 部 16 个 2 元 布尔 函数 ,并 
旦 给 出 了 它们 的 多 项 式 表 达 式 . 例 7. 2 中 的 函 
数 即 是 其 中 的 fi. 
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除了 多 项 式 表 达 式 之 外 ,在 工程 中 还 有 一 
种 逻辑 表达 式 , 它 由 三 种 远 辑 运算 组 成 :“ 与 ” 
门 “ 或 ” 门 和 “ 非 " 门 . 

“或 " 门 是 2 元 布尔 水 数 ,表示 成 z1 V x2. 当 
zi 和 zs 至 少 有 一 个 为 1 时 , 取 值 为 1. 而 当 z= 


ZJ 
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zz 一 0 时 取 值 为 0. 即 它 的 真 值 表 为 f(0,1) = 
(1,0)= 一 1,1) 一 1,7(0,0) 一 0. 用 (7.1) 式 可 
算出 它 的 多 项 式 表 示 为 mV zz 二 zi 十 zz 十 
1Z2。 

“与 " 门 表示 成 zi1 人 xz. 当 z= 二 zz 二 1 时 取 
值 为 1 ,否则 取 值 0. 于 是 zi A zz 一 zizz， 

“ 非 " 门 是 1 元 布尔 函数 ,表示 成 乏 , 当 z 为 
0 时 =1, 而 当 x=1 时 z=0, 于 是 =z 十 1， 

例 7. 2 中 的 布尔 函数 f(zi ,zz ) 王 1 十 zi 十 


TX1T2 可 以 表 成 逻辑 运算 形式 : 
1 十 zi 十 Zizz = 十 XiXs =X! 人 (IT 于 zz) 
a Nz 


所 以 需要 做 三 次 逻辑 运算 ,就 可 算出 值 来 ， 
但 是 五 Vzxz=(zi 十 1) 十 zs 十 (zi 十 1)zxs==1 十 
Xi 十 zizxz ,所 以 也 可 只 用 两 个 逻辑 运算 . 

例 7.3 求生 成 2 元 3 级 M 序 列 


(00011101) 的 移 存 器 反馈 函数 . 

解 反馈 函数 f(zi, Xz, Zs) 应 当 满 足 
aiyarHyaitz) 一 as(i 一 1,2,…,8). 即 它 的 
真 值 表 为 

f(000)=f(001)=f(011)=f(110)=1, 
f(010)=f(100)=f(101)=f(111)=0. 


由 公式 (7. 1)， 
f(x1 ,Tz,Z3) 
=(z1+ D(zt+l) (atl)+ (z+!) 
“(zs 1)zs+ (zi 二 1)zzis+ rz(z +1) 
一 (zl 十 1)(zs 十 1) 十 zzs 十 zzs 
=1 二 zi 二 Xx; 十 Tazzss 

现在 我 们 讨论 更 一 般 的 情形 :m 为 素数 p. 
我 们 要 证 明 :每 个 函数 f(zi,…,z;):Z;>2Z 也 
可 以 表 为 z1,… ,zs 的 多 项 式 形式 . 为 了 证 明 这 
件 事 ,我 们 需要 初等 数论 中 的 一 个 著名 结果 : 费 
马 小 定理 ， 

费 马 (Fermat,1601~1665) 是 法 国 著名 的 
数论 学 家 . 大 家 知道 他 在 1637 年 提出 的 费 马 猜 
想 :对 每 个 整数 "之 3 ,方程 xz" 十 y" 二 xz* 没有 正 
整数 解 (x,y,z). 这 个 猜想 于 1994 年 被 怀 尔 斯 
(Andre Wiles) 所 证 明 . 实际 上 , 费 马 还 提出 了 
许多 数论 猜想 . 正 是 这 些 猜 想 引 起 欧 拉 对 数论 
的 兴趣 . 大 数学 家 欧 拉 和 高 斯 对 费 马 这 些 猜 想 
的 深入 研究 ,发 展 出 关于 整除 性 和 整数 同 余 性 
的 完整 而 系统 的 理论 ,形成 初等 数论 这 门 学 问 ， 
并 且 对 后 来 数论 发 展 起 到 深远 的 影响 . 

下 面 是 费 马 的 一 个 猜想 , 这 个 猜想 不 仅 被 
欧 拉 证 明 , 而 且 还 被 做 了 推广 . 
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费 马 小 定理 ” 设 p 为 素数 . 则 对 每 个 与 p 
互 素 的 整数 a,at 1! 被 p 除 的 余数 为 1, 即 
ar !=]1(modp). 

证 明 ”考虑 p 个 整数 0 .a=0,a,2a,…， 
(Pp 一 1)a. 我 们 来 证 这 p 个 整数 彼此 模 p 不 同 
余 . 如 果 对 于 0<i,j 二 p 一 1 有 ia 三 ja(modp)， 
即 plia 一 ja==(i 一 j)a. 但 是 已 假定 p 和 a 互 
素 , 即 p 不 整除 a. 则 素数 p 必 整 除 i 一 j. 由 0 志 
i,j 志 p 一 1 可 知 必然 i=j. 这 就 表明 p 个 整数 
ia(0<i<p 一 1) 模 思 彼 此 不 同 余 , 所 以 若 不 计 
次 序 ,它们 各 自 模 p 同 余 于 0,1,2,…,p 一 1. 由 
于 0 .a=0, 从 而 ia(1<a<p 一 1) 模 各 自 同 
休 于 了 页 … 运 一 1 于 是 
1. 2:…(p—1)a* 2a*…(p—1)a 

= 2 (p—1)(modp), 
即 pl(as! 一 1)* (Pp 一 1)!. 但 是 (p 一 1)! 与 
力 互 素 , 所 以 加 | (oa 和 :一 1), 这 就 证 明了 当 
(a,p)=1 时 ， 
at ! 三 1(modp). 
我 们 将 在 第 10 节 讲 述 欧 拉 的 推广 . 


费 马 小 定理 还 可 叙述 成 : 若 p 为 素数 , 则 对 
每 个 正 整数 a,a? 三 a(modp). 这 是 由 于 当 (a,p) 王 


1 时 ,a 生 :和 反 1(modz), 同 余 式 两 边 同 乘 以 c 即 
得 a? 二 a(modp). 当 (a,p) 隆 1 时 ,pla, 于 是 
a? 三 0 三 a( modp). 将 此 化 成 同 余 类 环 Z, 中 的 
语言 ( 模 p 同 余 的 不 同 整 数 a 三 b(modp) 在 Z， 
中 看 成 同一 个 元 素 :a=b). 便 有 :对 每 个 整数 a， 
在 Zs 中 a?* 二 a. 所 以 zx? 和 zx 是 从 Z， 到 2Z, 的 
同一 个 函数 . 这 表明 :如 果 f(zxi,…,z,):2Z 一 
Zs 可 表 成 zi, …，,zw 的 多 项 式 (系数 属于 Z,)， 
则 每 个 z; 的 次 数 都 可 不 超过 p 一 1, 我 们 现在 证 
明 每 个 了 都 可 唯一 地 表示 成 这 种 多 项 式 . 
定理 7.4 设 p 为 素数 . 则 每 个 f(z,…， 
Zz,) :2 一 2 都 可 表示 成 ， 
Mi ) = BD Fy) 


(bE 
. [1 一 (za — bi)r] 
“a 二 
(7.4) 
所 以 了 可 表 成 xz1，,… ,zx, 的 多 项 式 ,并 且 这 个 多 
项 式 对 每 个 xz; 的 次 数 均 不 超过 p 一 1. 进而 ， 
/mn ,… ,Zz ) 表 成 这 种 多 项 式 有 唯一 的 形式 , 即 
不 同 的 这 种 多 项 式 是 不 同 的 函数 ， 
证 明 由 费 马 小 定理 可 知 , 在 Z, 中 
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1, 如 果 六 = b., 
0, 如 果 zz; 一 ;而 4 天 上， 


全 ( 党 一 下 六 -| 


于 是 5 
[E30 和 人 相 了 =( 坟 一 的 ) 生 时 

1, 如 果 (z1，…,z;) 二 (bY,…,b,)， 
ea sR ) = (Ql, ,Gn) A (Db) 
所 以 当 (z ,… ,zn) 二 (a1，…,an) 时 ,(7.4) 式 右 
边 求 和 除了 (bY ,… ,5b,) 二 (a1，,…,ar) 之 外 ,其 余 
诸 项 均 为 0. 从 而 (7. 4) 式 右边 等 于 

2 fb, be) (1— (ai—b)).. 


(bh) EZ 
(F(a —W = fa a) 
即 (7.4) 式 两 边 在 每 个 (zi ,ze) 一 (al arn》 
处 取 值 均 相 同 ,从 而 是 同一 个 函数 ， 
进而 ,单项 式 zh…zh (0 二 1; 志 pp 一 1) 共 有 
加" 个 .由 它们 组 成 的 多 项 式 共 有 p?* 个 (加 个 系 
数 ,每 个 系数 属于 2Z,) 而 函数 f:Z 习 Zs 也 恰好 
有 p?” 个 .这 就 证 明了 定理 中 所 述 的 唯一 性 . 
例 7.5 求生 成 3 元 2 级 M 序 怠 
(001122021) 的 移 存 器 反馈 函数 f (zi, zx); 
VA A 
解 ” 这 个 函数 的 取 值 表 为 
f(21) = f(10) = f(2,2) = 0， 


f(00) = f(01) = f(02) = 1， 
f(11) = 7(12) = f(20) =2. 
册 公 式 (7.4) 给 出 
flz: ,zx:) 
=(1— 2#)(1— 有 3) 
+(1—2)(1— (zi—1)) 
+(1—71)(1— (x: —2)) 
+2(1—(z CO—1)°)(1— (2 — 1)’) 
+2(1—(a—=D)(—(m—2)) 
+2(1—(m—2))(i—2z) 
=]1+2zi + 2r1272. 
涯 p=2 时 ,1]—(xz—0)*'=1—(zx—b)= 


z 二 01, 从 而 定 王 7. 1 是 定理 7. 4 的 特殊 情 


我 们 知道 ,Z。 上 元 通 数 了 :一 Z。 共有 


p* 个 .而 其 中 有 [(p 一 1)1]” p*” 个 作为 n 级 
移 存 器 的 反馈 溪 数 生成 p 元 n 级 M 序列 . 求 出 
这 些 M 冶 列 反馈 番 数 是 密码 学 所 关心 的 问题 . 
当 很 大 对 ,这 是 一 个 困难 的 问题 . 但 是 从 保密 
的 角度 看 ,这 正 是 有 益 的 ,用 这 些 M 序列 作客 
锣 不 容易 破译 . 此 外 ,人 们 也 关心 是 否 有 一 批 生 
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成 M 序 列 的 反馈 函数 ,它们 的 多 项 式 表达 彼此 
只 有 很 少 的 区 别 . 因为 这 时 ,将 一 个 函数 的 计算 
元 件 稍 加 改动 ,就 可 使 新 的 移 存 器 生成 一 种 新 
的 M 序列 ,为 在 保密 通信 中 更 换 密 钥 形成 
方便 . 

当 m 不 是 素数 时 , Z。 上 的 nn 元 函数 反 
如一 Z, 不 一 定 能 表示 成 多 项 式 的 形式 . 比如 
m=4 时 , 容易 看 出 ,对 每 个 整数 a, at 三 
az(mod4). 即 z: 和 xz: 在 Z, 上 是 同一 个 函数 
因此 若 F(zi yz)2 一 Zi 可 表 成 x1 ，…， 玛 
的 多 项 式 , 对 每 个 z; 的 次 数 都 可 不 超过 3. 这 样 
的 多 项 式 有 4 个 ,而 从 2 到 Z 的 函数 也 只 有 
4“ 个 ,由 于 不 同 的 多 项 式 可 以 是 同一 个 函数 ( 例 
如 2x? 和 2z 是 Z, 上 同一 个 函数 ). 所 以 一 定 
有 函数 F(z ,…,z,):2i 习 Zs 不 能 表 成 zi， os 
zs 的 多 项 式 (系数 属于 Z,) ,不 过 这 对 保密 通信 
并 没有 很 大 影响 . 因为 函数 即使 不 可 表示 成 
多 项 式 ,在 工程 上 也 有 办 法 实现 函数 f 的 运算 


习题 七 


1. 给 出 一 个 2 元 4 级 M 序 列 ,并 求 出 生成 


此 序列 的 4 级 移 存 器 反馈 函数 . 

2. 找 出 生成 3 元 2 级 M 序列 (022101120) 
的 移 存 器 反馈 函数 ， 

3. 具体 给 出 一 个 函数 f= 了 (zx):2Z; 一 2Z, ,使 
得 f(z) 不 能 表 成 关于 z 的 多 项 式 (系数 属于 
i: 


20 世纪 50 年 代 以 来 ,通信 技术 有 很 大 发 
展 , 人 类 逐渐 进入 快速 的 数字 计算 机 和 具有 大 
量 用 户 的 网 络 通信 时 代 , 这 给 保密 通信 带 来 许 
多 新 的 课题 . 首先 ,快速 数字 计算 机 的 出 现 ,使 
破译 手段 有 很 大 进步 ,过 去 被 认为 计算 量 太 大 
的 算法 现在 几 分 钟 就 可 算 完 , 这 就 需要 改进 加 
密 方法 . 其次, 网络 通信 具有 大 量 用 户 . 如 果 每 
个 用 户 与 1000 人 通信 都 需 保 密 , 他 至 少 要 保存 
999 对 加 密 和 解密 的 密 钥 , 分 别 用 于 不 同 的 通信 
对 象 ,不 能 搞 乱 ,而 且 密 钥 还 需 经 常 更 换 , 又 绝 
对 不 能 丢失 或 泄漏 给 别人 . 所 以 大 量 密 钥 的 保 ; 
存 、 更 换 和 管理 成 为 一 个 严重 的 问题 . 最 后 , 随 
着 通信 深入 普及 到 人 们 生活 的 各 个 领域 ,保密 


通信 已 不 仅 是 政治 和 军事 上 的 需要 ,也 是 各 种 
经 济 活动 (电子 货币 、 电 子 购 货 …) ,行政 管理 和 
私人 通信 的 需要 ,这 些 复 杂 的 经 济 和 管理 活动 
为 保密 通信 提出 很 多 新 的 要 求 . 比如 数字 签名 
和 得 份 认 证 (在 电子 信息 上 如 何 “ 签 名 ”? 收 到 
其 信息 如 何 确认 它 是 由 某 人 发 来 而 不 是 由 别人 
伪造 ?) ,仲裁 (电子 购 货 时 顾客 与 商店 发 生 争 
执 , 如 何 进行 仲裁 ) 等 . 这 些 要 求 都 不 是 简单 地 
用 密码 加 密 所 能 解决 的 ,现在 扩展 成 一 个 更 大 
的 领域 , 叫 作 信息 安全 ， 

通信 事业 发 展 和 信息 安全 的 各 种 新 课题 的 
提出 ,促使 保密 体制 要 有 一 个 新 的 变革 . 正 是 在 
这 种 形势 下 ,美国 斯 坦 福 大 学 计算 机 系 的 两 位 
年 轻 人 , 狄 非 (Diffie) 和 海尔 曼 (Hellman ) 于 
1976 年 在 “密码 学 的 新 方向 "文章 中 提出 一 种 新 
的 保密 体制 , 叫 作 公开 密 钥 体制 . 被 迅速 应 用 到 
信息 安全 的 各 种 领域 ,成 为 保密 通信 和 信息 安 
全 事业 发 展 的 一 个 重要 的 里 程 碑 ( 狄 非 和 海尔 
受 分 别 生 于 1944 和 1945 年 ,毕业 于 美国 麻 省 
理工 学 院 数 学 系 和 斯 坦 福 大 学 计算 机 系 ). 

前 面 介绍 的 保密 体制 均 属于 私 钥 体制 . 两 个 
人 通信 时 用 只 有 他 们 自己 知道 的 一 对 加 密 已 和 
解密 刀 D 密 钥 .EE 和 DD 是 互 逆 的 运算 ,如 果 外 人 知 
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道 E, 则 由 E 很 容易 得 到 逆 运 算 D. 比如 在 凯 撤 密 
码 体制 中 ,加 密 为 ?=E(z) 一 z 十 6(mod26) ,解密 
为 D(y) 三 y 一 6(mod26). 如 果 知 道 运 算是 模 26 
加 上 6, 则 立刻 得 出 解密 运算 ( 模 26 减 去 6), 从 
而 将 密 文 y 变 成 明文 x. 因此 ,E 和 DD 都 要 由 私 
人 保存 好 . 

公开 密 钥 体 制 的 思想 说 起 来 也 简单 , 它 采 
用 一 组 互 逆 的 运算 玉 和 DD, 其 中 由 DD 算 E 容 
易 , 但 是 由 EE 算 D“ 非 常 困难 ”". D 通常 称 作 是 
“ 单 向 "(one-way) 函数 ,就 好 比 是 从 DD 到 EE 的 
单行 路 ,由 DD 可 到 EE 但 不 能 返回 . 

读者 会 问 :什么 叫 作 由 记 算 它 的 逆 D “非常 
困难 ”"? 举 一 些 熟 知 的 例子 ,乘法 比较 容易 ,而 
它 的 逆 运 算 除 法 比较 困难 .给 了 整数 a, 指 数 运 
算 N=3" 比较 容易 ,而 要 作 逆 运算 (对 数 运 算 ) 
< 一 logs N 就 困难 得 多 . 从 工程 实际 的 角度 ,由 EE 
求 逆 DD 非常 困难 ,就 是 用 目前 最 快 的 计算 机 ( 硬 
件 ) 和 已 发 明 的 最 好 的 算法 (软件 ), 由 E 求 D 
都 需要 很 长 的 时 间 ( 比 如 100 年 ), 从 而 在 实用 
中 可 认为 是 不 可 能 的 . 从 理论 上 研究 一 些 问题 
的 难度 ,目前 已 经 发 展 出 数学 和 计算 机 科学 的 
一 个 新 学 问 , 叫 作 * 计 算 复 杂 性 理论 "”. 在 这 个 理 
论 中 ,把 解决 一 个 问题 的 算法 分 成 两 大 类 :多 项 


式 算 法 和 指数 型 算法 . 设 六 是 处 理 某 个 问题 的 
信息 量 , 如 果 给 了 解决 此 问题 的 一 个 算法 ,这 个 
算法 所 花 的 时 间 为 N°, 其 中 c. 是 某 个 正 实数 ( 例 


如 c= 计 ,3 甚至 100), 则 称 此 算法 为 多 项 式 算 


法 ,如 果 算 法 所 需 时 间 为 C ,其 中 为 大 于 1 的 
实数 , 则 称 为 指数 型 算法 . 人 们 普遍 认为 ,一 个 
问题 是 容易 的 ,是 指 人 们 找到 了 解决 它 的 多 项 
式 算法 . 如 果 没 有 多 项 式 算法 , 则 认为 这 个 问题 
是 "非常 "困难 的 . 比如 说 ,目前 没有 找到 求 任意 
-个 图 的 哈密 顿 回路 的 多 项 式 算法 ,所 以 这 个 
问题 被 认为 是 困难 的 . 
现在 假定 有 1000 个 用 户 A;(1 科 i 委 1000) 


令 此 通信 都 需要 保密 ,通常 需要 专 (1000 X 999) 


对 密 钥 ,每 个 用 户 都 需 保 存 999 对 密 钥 . 在 公 钥 
体制 中 ,每 个 用 户 A 有 自己 的 一 对 密 钥 | E;， 
D;| ,其 中 D; 是 单 向 函数 , 即 E; 和 DD; 互 为 逆 运 
算 :EiD,(z) 王 DiE,(z) 一 xz. 由 D; 求 E; 容易 ， 
而 由 E; 求 D; 很 难 . 在 公 钥 体制 中 ,所 有 的 
Ei(1 委 过 1000) 都 公开 ( 叫 作 公 钥 ), 可 以 装订 
成 册 , 像 电话 本 一 样 ,任何 人 都 可 查 到 . 而 对 每 
个 用户 A; 保留 属于 他 自己 的 Di ,作为 用 户 
4; 自己 的 私 钥 不 让 别人 知道 ,所 以 ,无 论 A; 与 
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多 少 人 通信 ,他 都 只 需 保存 一 个 私 钥 D; ,他 可 以 
查 到 所 有 人 的 公 钥 E:(1<i<1000). 
公 钥 体制 的 加 密 方式 也 非常 简单 :假设 用 
户 Ai 将 明文 x 发 给 用 户 A; 需要 加 密 . 用 户 A 
在 公 钥 本 上 查 到 用 户 A; 的 公 钥 Ej ,然后 把 y= 
E; (xz) 发 给 用 户 A; 即 可 .用 户 A; 在 收 到 密 文 y 
之 后 ,用 只 有 自己 知道 的 私 钥 D; 作用 于 y, 便 
恢复 成 明文 D;(y) 二 =D;E;(z) 二 xz, 而 任何 外 人 
截取 到 密 文 y, 即 使 知道 是 发 给 用 户 A; 的 ,也 
能 在 公 钥 本 上 查 到 E; ,但 是 由 E; 求 D; 非常 困 
难 ,所 以 不 能 把 y 恢复 成 明文 zx. 公 钥 体制 的 这 
个 加 密 过 程 可 用 下 面 模型 来 表示 ， 
一 ,| 加 密 | y 信道 y EE 
E(z)=y D,(y)=x 
(用 户 A,) (用 户 A,) 
公 钥 体制 解决 了 用 户 保存 大 量 密 钥 的 问 
题 , 因 为 每 个 用 户 只 需 保存 一 个 私 钥 . 发 明 者 狄 
非 和 海尔 曼 还 指出 ,这 种 体制 还 为 数字 签名 和 
身份 认证 提供 了 一 个 简便 的 方法 . 用 户 A; 将 明 
文 z+ 发 给 用 户 A; 时 ,用 自己 的 私 钥 Pi 作用 zz， 
把 > 一 Di(z) 传 给 用 户 A; ,这 就 是 用 户 Ai 的 签 
名 . 用户 A; 收 到 > 之 后 ,在 公 钥 本 上 查 到 用 户 
Ai 的 公 钥 Ei;, 用 E: 作用 y 恢复 出 明文 E;(y)= 
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EDi(z) 一 z, 便 知 信息 来 自用 户 A, ,这 就 是 身 
份 认证 . 任何 人 都 可 查 到 公 钥 E, ,所 以 都 可 认证 
消息 来 自用 户 A;. 但 是 外 人 很 难 伪造 用 户 A; 的 
签名 ,因为 D 只 有 用 户 A, 知道 ,而 由 公 钥 EE 
求 D; 很 困难 . 这 个 过 程 可 表示 成 : 
一 区 字 莹 外 -一半 份 认 语 一 
D(x)=y E.(y)=x 
(用 户 Ai) (用 户 A;) 

再 复杂 一 点 ,如 果 用 户 A; 向 用 户 A; 发 送 明 
文 信息 同时 需要 加 密 和 签名 ,用 户 A, 可 先 签名 
Di(z) 一 》%, 再 加 密 EE(y)= 二 zx, 把 z 传 给 用 户 Ai. 
用 户 A; 收 到 = 之 后 , 先 去 密 D(z)=D,E,(y) = 
,再 认证 已 (>y)= 尼 Di;(z) 一 z 便 恢 复明 文 zx. 
这 就 同时 起 到 保密 和 签名 认证 的 作用 . 目前 公 
钥 体 制 已 广泛 而 有 效 地 用 于 更 复杂 的 信息 安全 
问题 之 中 . 

公 钥 体制 于 1976 年 提出 之 后 ,由 于 同时 解 
决 了 密 钥 管理 和 签名 认证 问题 ,立即 引起 通信 
界 和 数学 界 人 士 以 及 许多 业余 爱好 者 的 极 大 兴 
趣 . 由 上 可 知 , 公 钥 体制 的 核心 是 要 构 作 许多 单 
向 函数 D, ,使 得 由 D; 求 E;=D7! 很 容易 ,但 是 
由 E; 求 D, 很 困难 . 在 1976 年 以 后 的 十 多 年 
里 ,人 们 和 争先恐后 地 提出 了 许多 单 向 函数 D 的 
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方案 ,声称 由 E=D ! 求 D 非常 困难 . 采用 了 许 
多 数学 方法 和 手段 . 但 是 过 了 不 久 ,这 些 方 案 就 
被 别人 相继 攻破 了 , 即 找 到 由 EE 计算 D 的 容易 


算法 . 到 目前 为 止 , 剩 下 来 没有 被 攻破 的 只 有 两 ， 


种 方案 , 即 大 数 分 解 方 案 和 离散 对 数 方案 . 这 两 
种 单 向 函数 方案 目前 已 在 通信 中 被 广泛 采用 . 
有 趣 的 是 ,这 两 种 站 住 脚 的 公 钥 方案 均 是 利用 
数论 知识 , 我 们 在 以 下 两 节 介绍 这 两 种 方案 和 
相关 的 数论 知识 . 


9 RSA 公 钥 方案 一 一 素数 判定 
和 大 数 分 解 


公元 前 3 世纪 , 古 希 腊 数 学 家 欧 几 里 得 在 
他 的 《几何 原本 ?中 就 证 明了 :每 个 大 于 1 的 整 
数 都 可 (不 计 因子 次 序 ) 唯 一 地 分 解 成 有 限 个 素 
数 的 乘积 , 这 是 一 个 十 分 漂亮 的 理论 结果 ,是 数 
论 的 出 发 点 和 基石 .但 是 ,一 个 有 头脑 的 工程 师 
会 问 :给 了 一 个 大 整数 ,将 nn 分 解 成 素数 的 乘 
积 是 否 容易 ? 科学 地 说 ,大 数 分 解 是 否 有 多 项 
式 算法 ? 在 数字 计算 机 中 ,整数 ”用 2 进 制 表 
示 , 需 要 N= 二 logzn 位 . 所 以 衡量 一 个 分 解 n 的 
算法 好 坏 , 要 看 算法 所 需 时 间 与 N 的 依赖 程 
度 , 如 果 所 花 时 间 是 N 的 多 项 式 ( 如 2N 十 
4N ), 这 就 是 多 项 式 算法 , 如 果 所 花 时 间 为 


aa (a>1) ,这 就 是 指数 型 算法 . 
如 果 n 本 身 是 素数 , 则 分 解 完 毕 . 如 果 n 不 
是 素数 ,需要 找到 n 的 一 个 素 因 子 p ,然后 再 分 


解 2. 所 以 首先 要 考虑 的 第 一 件 事 是 :给 了 一 个 


大 整数 ,是 否 有 好 的 算法 来 判定 n 是 不 是 素 
数 ? 这 叫 作 素数 判定 问题 . (注意 : 欧 几 里 得 用 
反 证 法 证 明了 素数 有 无 穷 多 个 ,所 以 对 任意 大 
的 整数 a, 都 有 素数 大 于 a. ) 

判别 n 是 否 为 素数 的 最 笨拙 的 方法 ,是 依 
次 用 2,3,…,n 一 1 去 除 ,如 果 这 n 一 2 个 数 都 
不 整除 n, 则 为 素数 ,否则 n 不 是 素数 . 这 种 分 ， 
法 要 作 "一 2 次 除法 运算 ,所 花 时 间 至 少 要 与 
成 正比 .由 于 n=2*(N=logzn) ,所 以 这 就 是 指 ， 
数 型 算法 , 古 希 腊 人 把 这 个 算法 加 以 改进 . 请 读 
者 证 明 : 若 n 不 为 素数 , 则 它 必 有 一 个 因子 a, 使 
得 2<a<Vn. 所 以 我 们 只 需 用 Vn 以 内 的 整数 去 
除 n 即 可 判别 n 是否 为 素数 , 这 种 算法 需要 Vs 
个 除法 ,而 /=V2 ,所 以 也 就 是 指数 型 算法 , 后， 
来 的 两 干 多 年 里 ,人 们 不 断 改进 判定 素数 的 算 
法 . 快速 计算 机 出 现 之 后 ,用 不 断 改进 的 算法 
判定 一 个 (十 进 制 )100 位 的 整数 ”是 否 为 素数 
通常 只 需 几 分 钟 即 可 ,所 以 人 们 相信 素数 判定 


是 一 个 容易 的 问题 . 直到 2002 年 8 月 ,三 位 印 
度数 学 家 找到 了 素数 判定 的 多 项 式 算法 ,计算 
复杂 度 为 (logn)', 这 就 在 理论 上 证 明了 素数 判 
定 是 一 个 容易 的 问题 ， 

但 是 对 于 大 数 分 解 问题 ,人 们 至 今 也 没有 
找到 多 项 式 算 法 ,许多 数学 家 经 过 多 年 的 努力 ， 
使 用 了 不 少 深刻 的 数论 工具 , 目前 得 到 的 最 好 
算法 也 仍然 是 指数 型 算法 或 “ 亚 指数 ”型 的 算法 
(目前 最 好 算法 的 复杂 度 为 et*m! ). 在 实践 中 ， 
现在 用 最 好 的 计算 机 和 算法 ,分 解 一 个 100 位 
的 数 需 要 几 分 钟 ,而 分 解 一 个 200 位 的 数 通常 
需要 几 万 年 ! 所 以 大 数 分 解 至 今 是 一 个 非常 困 
难 的 问题 . 

在 1977 年 之 前 ,人 们 对 大 数 分 解 的 兴趣 一 
直 是 基于 纯 数 学 的 研究 . 但 是 在 公 钥 体制 提出 
(1976 年 ) 的 第 3 年 ,美国 麻 省 理工 学 院 计 算 机 
科学 实验 室 三 位 年 轻 研 究 员 Rivest,Shamir 和 
Adleman 利用 大 数 分 解 的 困难 性 ,合作 提出 一 
种 公 钥 方案 ,被 人 们 称 为 RSA 公 钥 方案 . 现在 
介绍 这 个 方案 . 

(1) 随机 地 选取 两 个 大 约 100 位 的 不 同 素 
数 祖 和 4q( 做 这 件 事 有 多 项 式 算 法 ). 把 n= pg 
公开 ,但 是 素 因子 p 和 4g 保密 . 
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(2) 再 取 正 整数 e 和 4 ,使 得 
ed 三 1(mod(p—1)(gq—1)). (9.1) 

(3) 把 每 个 信息 x 用 10,1,…,n 一 1} 中 的 
数 来 表示 (由 于 很 大 ,可 以 表示 足够 多 的 信 
息 ). 如 下 定义 一 对 运算 E 和 D: 

y= E(x) x‘(modn), 
D(y) = y(modn) 

这 里 用 z 算出 zx“ 是 模 n 运算 , 即 y 为 xz“ 模 n 的 
最 小 非 负 剩余 (参见 后 面 所 举 的 例子 ), 我 们 现 
在 用 费 马 小 定理 来 证 明正 和 是 互 逆 的 运算 ， 

引 理 9.1 设 p 和 g 是 不 同 的 素数 ,n= 
pq, 整 数 e。 和 4 满足 (9. 1) 式 , 则 对 每 个 整数 ， 
r=zx(modn). 

证 明 由 (9.1) 式 知 ed=(p 一 1)(q 一 1)NN 十 
1, 其 中 N 为 正 整数 . 当 (z,p)=1 时 ,根据 费 马 小 
定理 :x*! 三 1(modp). 因此 

ze =r (TTNN Sr ,1=7r(modp). 

若 z 不 与 p 互 素 , 则 p 整除 xz. 也 有 xz“ 三 0 三 
ZX(modp). 所 以 对 每 个 整数 z, 均 有 x” 三 
Xx(modp). 同样 可 证 x“ 三 zx(modgq). 这 表明 
zx” 一 z 同 时 被 pz 和 4g 整除 . 由 于 p 和 4 是 不 同 
的 素数 ,所 以 xz“ 一 z 被 n= pq 整除 , 即 z” 三 
xXx(modn) ,证 毕 . 


(9. 2) 


由 于 ED(x)=E(zx’)= zz (modn), 
DE(zx)=D(z)=zx"“ 三 zx(modn). 可 知 (3) 中 的 
EE 和 DD 是 一 对 互 逆 的 运算 . . 

(4) 事实 上 , 当 p 和 9g 是 很 大 素数 时 ,我 们 
可 以 取 许 多 对 模 (p 一 1)(g 一 1) 不 同 的 正 整 数 
lei,dij (i 二 1,2,3…), 使 得 每 对 |e;,di| 均 满足 
eid; 三 1(mod(p 一 1)(g 一 1)). (我 们 在 第 10 节 
再 分 析 共 可 以 得 到 多 少 对 这 样 的 {e ,di|. ) 每 个 
用 户 A; 使 用 一 组 1ei,d;},A; 所 采用 的 公 和 钥 为 
Ei(z) 三 x (modn), 私 钥 为 D; (y) 三 
y*(modn). E, 和 D; 是 互 逆 的 运算 . 所 有 的 
ei(i 二 1,2,…) 都 公开 ,而 每 个 用 户 A; 只 秘密 保 
存 一 个 di(A; 自己 的 私 钥 ). 

以 上 就 是 RSA 公 钥 方案 . 现在 说 明 这 个 方 
案 为 什么 是 安全 的 . 在 这 个 方案 中 ,n,ei(i=1， 
2,…) 都 是 公开 的 (甚至 加 密 方 式 Ei (zx) 三 
x“(modn) 也 是 公开 的 ) ,但 是 nn 的 两 个 素 因 子 p 
和 4 是 保密 的 . 用 户 A; 以 外 的 人 不 知道 E; 的 
逆 运 算 D;. 如 果 由 E; 来 求 D,, 即 由 e: 决定 d;， 
要 利用 公式 ejd; 夺 1(mod(p 一 1)* (gq 一 1)). 这 
就 需要 知道 这 个 同 余 式 的 模 (p 一 1) ， (gq 一 1). 
但 是 只 有 n 是 公开 的 , 素 因 子 p 和 gq 是 保密 的 . 
为 求 (p 一 1)(g 一 1) 的 大 小 需要 把 ”做 素 因子 分 
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解 .但 是 当 n 是 200 位 数 时 ,将 它 分 解 是 非常 困难 
的 . 所 以 由 ei: 求 d; 是 非常 困难 的 . 这 表明 RSA 
公 钥 体制 至 今 被 认为 是 安全 实用 的 . 


让 我 们 举 一 个 例子 , 取 p= 二 13,q= 二 17( 为 了 
说 明 问 题 方便 ,我 们 在 这 里 取 两 个 小 素数 ) ,一 
pq 二 221, 而 (p 一 1)(q 一 1)= 二 12* 16 二 192. 容易 
验证 

7.55 三 13.133 三 25, 169 三 1(modl92)， 

所 以 可 以 取 (e ,di) 王 (7,55),(e dz) 一 (13， 
133) 和 (es , 心 )= 王 (25,169) ,分 别 作为 用 户 Ai， 
A: ,Ai 的 密 钥 对 . (我 们 在 下 节 将 计算 出 ,满足 
ed 三 1(mod169) 的 (e,d) 共 有 64 对 ,可 供 64 位 
用 户 使 用 ,并 且 在 那里 还 给 出 求 (e,4) 的 具体 方 
法 . ) 将 n= 二 192,e = 二 7,ez= 二 13 和 es 一 25 均 公 
开 . 而 di==55,d; 二 133 和 ds 三 169 分 别 为 用 户 
Ai ,A: 和 As 的 私 钥 . 

当 Ai; 将 明文 x=60 发 给 用 户 A 时 . 

(1) 如 果 需 要 加 密 , 则 Ai 查 到 A; 的 公 和 钥 
e 一 13, 计 算 y==x* 三 603 (mod221). 通常 这 种 
模 221 的 方 寡 运 算 采 用 如 下 办 法 进行 :将 13 作 
2 进 制 展开 :13 王 1 十 4 十 8. 先 算 好 

60: = 3600 三 64(mod221), 


604 三 64: 三 118(mod221) ， 
60 三 118: = 1(mod221), 
于 是 
y= 60% 一 60 
三 60. 118 ,1 三 30.236 
三 30. 15 = 8(mod221), 
从 而 用 户 A 把 密 文 y=8 发 给 用 户 A:. 用 户 
A: 收 到 y 之 后 ,用 自己 的 私 钥 d= 二 133 作 运 算 
三 823 (mod221). 由 于 133==1 十 4 十 128, 而 
8 =64, 8=64=118, 
8 三 118: =1, 
8 = (8)' = 1(mod221). 
所 以 y=8*=8!tn#=8 . 118 三 4 . 236 三 
4 15 三 60(mod221) ,所 以 用 户 A; 恢复 成 明文 
zr 二 60, 
(2) 如 果 用 户 Ai 需要 签名 , 则 Ai 把 明文 
x 二 60 用 自己 的 私 钥 di ==55 作 签 名 ,得 到 
y= 6055 = 601+2+4t16t32 
三 60 .64.118(mod221) 
三 30 64:15 三 450 .64 三 8 .64 
三 70(mod221) 
所 以 用 户 A 将 y=70 发 给 用 户 As. 用 户 A 收 
到 y= 二 70 之 后 ,为 了 认证 信息 来 源 于 用 户 A , 查 
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到 Al 的 公 钥 e=7 并 将 它 作 用 于 y==70, 计 算 ， 
因 三 707 三 60(mod221). 发 现 60=z 是 明文 , 便 
知 信息 来 自用 户 A,. 

请 读者 做 用 户 Al 同时 加 密 和 签名 的 情形 . 
上 面 介绍 的 将 作 二 进展 开 计 算 x“(modn) 的 
方法 是 多 项 式 算法 . 


我 们 看 到 , RSA 公 钥 方案 是 建立 在 “大 数 
分 解 是 困难 的 "这 一 信念 上 . 所 谓 “ 信 念 "是 指 至 、 
今 在 理论 上 未 找到 大 数 分 解 的 多 项 式 算法 ,并 
且 在 实际 上 用 目前 最 好 的 计算 机 和 算法 分 解 大 
整数 也 是 很 花 时 间 的 ,但 是 人 们 也 无 法 证 明 大 
数 分 解 不 存在 多 项 式 算法 . 所 以 近年 来 ,人 们 仍 
在 努力 寻求 大 数 分 解 更 好 的 算法 . 而 且 由 于 保 
密 通 信 需 求 的 刺激 , 近 二 十 年 来 有 越 来 越 多 的 
数学 家 和 计算 机 科学 家 卷 人 这 项 工作 . 不 断 发 
现 越 来 越 好 的 算法 . ( 连 分 数 算法 、 二 次 筛 法 、 椭 
圆 曲线 算法 , 数 域 得 法 …). 

人 们 要 间 : 对 于 一 个 新 的 大 数 分 解 算法 ,如 
何 被 判别 和 被 公认 为 比 过 去 的 算法 要 好 ? 这 个 
问题 容易 解决 ,因为 实践 是 检验 真理 的 标准 . 就 
像 跳 高 比赛 一 样 ,把 模 杆 放 在 高 低 不 同 的 标准 ， 
上 . 如 果 你 跳 过 2. 40 米 而 别人 跳 不 过 ,你 就 是 


跳高 冠军 类似 地 ,我 们 可 以 选 出 一 批 大 整数 作 
为 衡量 大 数 分 解 算法 好 坏 的 标准 ,现在 被 普遍 
采用 的 一 批 数 ,是 和 费 马 另 一 个 猜想 有 关 . 

设 m 是 大 于 1 的 整数 , 不 难 证 明 : 如 果 
有 奇 素数 因子 p , 则 2" 十 1 一 定 不 是 素数 . 于 是 
费 马 考虑 数 P, 一 2 十 1. (现在 这 叫 作 费 马 数 . ) 
费 马 计算 了 

Fo 三 3,F = 5,F,=17, 
F,; = 257,F, 一 65537， 

发 现 它们 都 是 素数 . 于 是 费 马 提出 猜想 ;对 所 有 
的 n 宇 0, F, 都 是 素数 . 过 了 一 百 多 年 , 欧 拉 发 现 
了 Fs 的 一 个 素 因 子 641: F; ==641 * 6700417. 
从 而 否定 了 费 马 的 这 个 猜想 . 后 来 人 们 发 现 ， 
F; ,Fi ,… 均 不 是 素数 , 到 目前 为 止 ,对 于 x 之 5， 
人 们 还 没有 发 现 一 个 F, 是 素数 ! 自然 地 ,人 们 
把 这 些 费 马 数 F, 看 成 检验 大 数 分 解 算法 好 坏 
的 一 批 “ 横 杆 ”. 从 Fs 以 后 ,每 个 新 的 费 马 数 被 
分 解 都 是 用 新 发 明 的 算法 实现 的 . 至 今 人 们 分 
解 到 Fi ,而 Fu 还 没有 分 解 完毕 . 另 一 些 “ 横 杆 ” 
是 梅森 数 M, 二 x? 一 1, 其 中 p 为 素数 ,由 法 国 数 
学 家 梅森 开始 研究 . 1984 年 发 明了 二 次 筛 法 ,第 
一 次 得 到 2 一 1 的 素 因 子 分 解 式 . 美国 计算 机 
联合 会 (ACM) 为 纪念 美国 电子 工程 学 会 
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(IEEE) 成 立 一 百 周 年 , 作 了 一 个 纪念 碑 , 上 面 
刻 有 2 所 一 1 的 分 解 式 , ACM 主席 还 在 碑 上 刻 
了 如 下 一 番 话 . 

“大 约 三 百年 前 ,法 国 数学 家 梅森 预言 
2 一 1 不 是 素数 . 大 约 一 百年 前 证 明了 它 不 是 
素数 . 但 直到 20 年 前 还 被 认为 没有 进行 分 解 的 
设备 .事实 上 ,用 通常 计算 机 和 传统 的 算法 , 估 
计 其 计算 时 间 为 10” 年 . 今年 2 月 ,这 个 数 在 
Sandia 的 Cray 计算 机 上 用 32 小 时 被 分 解 成 
功 ,这 是 一 个 世界 纪录 . 我 们 在 计算 方面 已 走 子 
很 长 的 路 程 . 为 了 纪念 IEEE 对 计算 的 贡献 ,在 
这 里 刻 上 这 个 梅森 数 的 5 个 素 因 子 .” 


改进 大 数 分 解 算法 的 研究 在 世界 各 地 仍 在 
(公开 地 或 秘密 地 ) 热 火 朝 天 地 进行 . 人 们 至 今 
还 没有 得 到 大 数 分 解 的 多 项 式 算 法 ,所 以 RSA 
公 钥 方案 从 1980 年 起 ,一 直到 今天 还 在 信息 安 ， 
全 的 各 领域 中 使 用 着 . 


1 | RSA 公 钥 的 个 数 


一 一 欧 拉 函 数 和 欧 拉 定理 


在 RSA 公 和 钥 方 案 中 ,给 定 n= pg 之 后 , 满 

足 
ed 三 1(mod(p—1)(g—1)) 

的 密 钥 对 ie,d} 有 和 多少? 如何 把 它们 全 求 出 来 ? 
这 一 节 我 们 解决 这 两 个 问题 . 借 此 机 会 ,我 们 要 
介绍 数论 的 进一步 结果 . 在 知道 m= (p 一 1): 
(g 一 1) 的 情况 下 ,由 e 求 4 相当 于 解 同 余 方 程 
ez 三 1(modm). 下 面 是 解 这 种 同 余 方程 的 基本 
结果 . 

定理 10.1 设 三 2,a 为 整数 . 则 

(1) 同 余 方程 ar 三 1(modm) 有 解 的 充分 必 
要 条 件 是 a 与 m 互 素 . 


(2) 当 (a,m) 王 1 时 ,此 同 余 方 程 的 全 部 整 
数 解 形成 模 m 的 一 个 同 余 类 . 换 句 话说 , 若 z= 
是 此 同 余 方程 的 一 个 整数 解 , 则 z=5 是 解 当 且 
仅 当 5 三 b(modm). 

证 明 (1) 如 果 同 余 方 程 有 解 , 即 存在 整 
煞 5, 使 得 ab 三 1(modm). 则 ab 二 1 十 lm,l 为 整 
数 . 设 a 和 m 的 最 大 公 因 子 为 4, 则 a 除 尽 
ab 和 Lm ,从 而 也 除 尽 ab 一 /三 1. 于 是 d=1, 即 
a 和 m 互 素 . 这 表明 : 若 同 余 方 程 有 解 , 则 ， 
(4a,m) 二 1. 反 过 来 ,现在 设 (a,m) 三 1. 考虑 训 
个 数 ai (0 委 ; 秋 六 一 1). 如 果 0&i,j 志 m 一 1， 
ai 三 aj(modm), 则 m|ai 一 aj 二 a(i 一 7). 则 于 
(a,m) 二 1 可 知 mli 一 j. 但 是 0<i,j<m 一 1, 从 
而 必然 :=j. 这 就 表明 m 个 数 ai(0<i<m 一 1) 
彼此 模 m 不 同 余 . 所 以 这 xm 个 数 模 m 各自 同 余 
于 0,1,…,m 一 1. 特别 地 ,存在 i(0<i<m 一 1). 
使 得 ai=1(modm) , 即 同 余 方程 有 解 z=i. 

(2) 假设 ab 三 1(modm),ab' 三 1(modm)， 
则 ab 一 ab' 夺 1 一 1 三 0(modm). 于 是 mla(b 一 
旭 ). 由 (a,m)=1 可 知 m|b 一 5, 即 5 三 
b(modm). 反之 , 若 ab 三 1(modm), b' 三 
b(modm), 则 ab' 夺 ab 三 1(modm). 以 上 表明 当 
(a,m) 三 1 时 , 同 余 方程 ax 三 1(modm) 的 解 恰 
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好 形成 模 m 的 一 个 同 余 类 a. 证 毕 . 


我 们 要 用 的 第 二 个 数论 结果 ,是 欧 拉 对 费 
马 小 定理 的 推广 .为 此 ,要 引进 一 个 数论 函数 ， 

定义 10.2 设 m 宇 2. 以 g(m) 表 示 在 1， 
2,… ,Mm 这 m 个 数 中 与 m 互 素 的 数 的 个 数 , 称 作 
欧 近 函 数 ， 
例如 对 m=6, 在 1,2,3,4,5,6 当中 与 6 互 
素 的 有 2 个 (1 和 5), 于 是 pg(6)=2. 

对 每 个 素数 p, 在 1,2,…,p 当中 只 有 p 不 
与 p 互 素 ,因此 pg(p)=p 一 1. 

对 于 n= pq, 其 中 p 和 9g 是 不 同 的 素数 .在 
1,2,…,pq 一 1, pg 当中 与 互 素 的 数 就 是 与 p 
和 4 均 互 素 的 数 . 我 们 用 容 斥 原则 :从 1 到 pq 这 


pg 个 数 中 被 p 除 尽 的 共有 如一 个 (每 隔 户 个 就 
有 一 数 被 p 除 尽 ) ,因此 应 减 去 这 v 个 . 同样 地 ， 
被 g 除 尽 的 有 硬 ==p, 这 轧 个 也 应 减 去 .但 是 同时 


被 p 和 4g 除 尽 的 有 1 个 ( 即 如) ,在 前 面 被 碱 掉 两 
次 ,所 以 还 应 补 上 1 次 . 因此 ,1,2,…,gp 当中 同 
时 不 被 pz 和 9g 整除 的 数 的 个 数 为 pg 一 p 一 gq 十 1= 
(p 一 1)(g 一 1). 这 也 就 是 1,2,… ,pq 当中 与 n= 
pq 互 素 的 数 的 个 数 . 于 是 p(n) = 9(pq) = 
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(p 一 1)， (gq 一 1). 这 表明 在 RSA 公 钥 方案 中 
n 二 pq, 我 们 利用 的 (p 一 1)(g 一 1) 就 是 n 的 欧 拉 | 
函数 p(n). | 

再 考虑 n 二 p', 其 中 p 为 素数 而 忆 1. 在， 
1,2,…,p' 当 中 与 p' 不 互 素 的 数 必 被 p 整除 . 
而 其 中 被 p 整除 的 共有 p'/p= 三 p' 个 . 所 以 


p(p')=p'—p rps}. 
利用 数学 归纳 法 ,可 以 证 明 如 下 的 一 般 公 
式 (证 明 从 略 ). 
定理 10.3 设 m 二 ppP…p 是 整数 m 的 
分 解 式 ,其 中 pi ,…p, 是 不 同 的 素数 , 1,…， 
7, 宕 1. 则 y 
pm)= gp(ph)p(ps)g( ps) 
= pp pe (pi —1) 
* (wba — TL)r( pi—1) 


1 1 1 
-"- 芭 (- 革 -- 划 
定理 10. 4( 欧 拉 定 理 ) 设 m 本 2,a 与 m 互 
素 . 则 
arm = 1(modm) 
特别 当 m 为 素数 p 时 ,gp(p) 二 Pp 一 1, 从 而 得 到 
费 马 小 定理 ， 


证 明 在 1,2,…,m 当中 共有 p(mm) 个 与 天 
互 素 , 设 它们 的 ni ,rz ,…,r;(s==g(m)). 考虑 pg(m) 
个 数 om ,…,ar. 由 于 a,ni，… ,ri 均 与 加 互 素 ,从 
而 am, ,ar 也 均 与 m 互 素 . 进而 ,ar ,…，,ar 
彼此 模 m 互 不 同 余 ( 见 费 马 小 定理 的 证 明 ). 于 是 
不 计 次 序 ,ar,… ,ar; 各 自 模 mw 同 余 于 ni ,rs,…， 
,所 以 

ri (ari) (ar,) = ai 
三 ar™ rir, (modm). 

由 于 ri*…r, 和 m 互 素 , 同 余 式 两 边 可 消去 i… 
rs, 便 得 到 as™ 圭 1(modm). 

注意 :定理 证 明 的 最 后 用 到 这 样 一 个 结果 : 

定理 10. 5( 消 去 律 ) 若 m 宕 2,(a,m)=1. 
如 果 ab= 二 ac(modm), 则 5b 二 c(modm). 

证 明 ”由 题 设 知 m|ab 一 ac= 二 a(b 一 c). 由 
(a,m) 二 1 得 到 | m|5 一 c ,Bb 硅 c(modm). 


现在 回 到 RSA 公 钥 方案 的 密 钥 对 1e,al. 
它们 满足 
ed = 1(modm) 
(其 中 n= gp ,m= gpg(n) = (p 一 1)(g—1)). 
由 定理 10. 1 知道 , 若 ed 三 1(modm), 则 e 和 4 均 
需 与 交互 素 . 进而 ,可 以 像 引 理 9. 1 那样 证 明 : 若 
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e 三 e (modm) , 则 对 每 个 整数 zx, x 三 x* (modn). 
所 以 对 于 模 w 同 一 个 同 余 类 中 的 两 个 正 整数 
e 和 e ,用 做 密 钥 时 起 的 作用 是 一 样 的 . 所 以 只 取 
0 过 e 志 m 一 1(m,e)= 二 1. 因此 ee 只 能 取 1,2,…,m 
当中 与 m 互 素 的 正 整 数 , 这 样 的 。 一 共有 
pg(m) 二 gq((p 一 1)(q 一 1)) 个 ,对 每 个 选 定 的 e, 满 ， 
足 ed 三 1(modm) 的 d 即 是 同 余 方程 ex 二 
1(modm) 的 解 . 由 定理 10. 1 知 它 的 解 是 模 m 的 
一 个 同 余 类 . 同样 地 , 当 d==d'(modm) 时 ,对 每 个 
整数 y, y 三 y (modn). 所 以 我 们 也 取 0 委 4 委 
1 一 1. 这 时 有 唯一 的 4d 满足 ed 三 1(modm). 这 就 
表明 :在 RSA 公 钥 方案 当中 , 当 n= pq 时 , 密 钥 
对 |e,d| 一 共有 pg(m) 二 gp((p 一 1)(q 一 1)) 个 . 例 
如 对 第 9 节 的 例子 ,n= 二 13 ，17m 马 
gq(n) 二 12: 16. 从 而 密 钥 对 的 个 数 为 wm) 三 
p(2° .3) 一 p(26)8(3) 一 25，2 一 64. 

为 了 得 到 这 64 对 密 钥 (e,d) ,我 们 首先 列 出 
从 1 到 癌 =12 .16 王 192 当中 与 192 互 素 的 那些 
e, 由 每 个 e 决定 d 需要 解 同 余 方 程 ez 二 
1(mod192). 定理 10. 1 保证 在 1 到 192 当中 存在 
唯一 解 d. 但 是 当 m=(p 一 1)(g 一 1) 很 大 时 (例子 
中 二 192, 而 应 用 中 p 和 4 均 为 100 位 数字 ,所 
以 m 是 200 位 左右 的 数字 ) ,要 解 同 余 方程 


er = 1(modm) CIO) 

也 并 不 是 容易 的 . 目前 已 有 解 这 种 同 余 方程 的 
多 项 式 算 法 . 现在 给 大 家 介绍 两 种 实用 的 手 算 
方法 . 

第 一 种 手 算 方 法 是 用 欧 拉 定理 . 由 于 e 和 
m 互 素 ,所 以 e*" 硅 1(modm). 即 e ， er" 1! 二 
1(modm), 从 而 得 到 同 余 方 程 (10.1) 的 解 为 
Z=ertm (modm) .将 er 用 和 去除 的 余数 
就 是 密 钥 对 (e,qd) 中 与 e 对 应 的 d. 不 过 当 m 很 
大 时 ,指数 pg(m) 一 1 也 很 大 ,计算 ex" ! 被 m 
除 的 余数 需要 不 少时 间 , 可 以 按 前 面 介绍 的 方 
法 ,将 g(m 一 1) 二 进 制 展开 来 作 . 

第 二 种 手 算 方 法 是 不 断 将 e 的 值 减 小 .我 
们 用 例子 来 说 明 这 种 方法 . 对 于 第 9 节 的 例子 : 
n=pqg=13* 17=221,m= p(n)=(p—1)(g— 
1) 王 12， 16 王 192. 取 e 王 5,(5,192) 一 1. 则 对 应 
的 4 应 是 5z=1(modl92) 的 解 . 在 同 余 式 右边 
加 上 192 的 倍数 ,使 得 能 被 5 除 尽 . 

5z 三 1 十 2.192=385 一 77.5(mod192). 

由 于 (5,192)=1, 定 理 10. 5 表明 同 余 式 两 边 可 
消去 5, 从 而 得 到 x 三 77 (mod192). 这 便 得 到 
4=77, 即 可 取 (e,d)=(5,77) 为 密 钥 对 . 这 个 过 
程 可 写成 “分 数 ”的 形式 :” 
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半 t= 二 1 十 2 192 = 至 -一 三 77(mod192). 


只 是 要 注意 :分 母 一 定 要 和 模 192 互 素 , 约 分 时 
一 定 用 与 模 192 互 素 的 数 去 除 分 子 和 分 母 . 
又 如 对 于 与 192 互 素 的 e=11, 方 程 11z 三 
1(mod192) 解 为 
02 
5 


= 2 = 35(mod192), 


从 而 (e,d) 一 (11,35) 是 一 对 密 铀 . 再 如 对 e= 
25, 


ee 三 一 23 三 169(mod192) ， 
从 而 (e,q)==(25,169) 是 一 对 密 钥 . 


以 上 我 们 利用 初等 数论 的 简单 知识 ,给 出 
RSA 公 和 钥 方 案 中 公 钥 个 数 和 具体 算出 这 些 公 
钥 的 方法 . 本 节 最 后 我 们 再 对 于 数学 层面 的 深 
化 作 一 点 议论 . 

我 们 从 同 余 类 环 Z。 的 角度 来 考查 一 下 定 
理 10.1,10.4 和 10. 5 的 意义 .集合 Z, 中 有 六 
个 元 素 ,每 个 元 素 是 模 m 的 一 个 同 余 类 , 我 们 用 


0,1,…,m 一 1 表示 这 m 个 元 素 . 当 < 三 
b(modm) 时 ,a 和 4 在 Za 中 是 同一 个 元 素 , 即 
在 Z。( 固 定 mw 宇 2) 中 可 写成 4=b. 例如 m=0， 
Mm 十 1 二 1 ,一 1 二 m 一 1 等 . 

模 m 同 余 式 的 加 减 乘 运算 也 可 看 成 是 Z。 
中 的 运算 .比如 3* 4 三 2(mod5) 在 Zs 中 可 写成 
3' 4 二 2. 集 合 Z 对 于 这 种 加 减 乘 运算 形成 环 
( 模 m 的 同 余 类 环 ). 同 余 方程 ex 三 1(modm) 在 
环 Z。 中 变 成 方程 ex ==1, 即 要 作 除 法 : 求 d € 
Z ,使 得 ed =1, 即 d=1/e. 

同 余 类 环 Z, 中 作 除法 要 小 心 ,方程 ez=1 
在 Z。 中 不 一 定 均 有 解 . 因为 定理 10. 1 可 以 说 
成 :az 三 1 在 Z。 中 有 解 当 且 仅 当 a 与 m 互 素 ， 
并 上 且 在 (a,m)==1 时 ,方程 azx=1 在 2Z。 中 有 唯 
一 解 ( 即 az 夺 1(modm) 模 mx 有 唯一 解 ). 这 个 唯 
一 解 叫 a 在 Z。 中 的 逆 , 表 示 成 a !. 在 m=4 
时 , 同 余 方程 2z 三 1(mod4) 没 有 解 ,从 而 方程 
2z 三 1 在 环 Z 中 无 解 , 即 2 在 Z。 中 不 可 逆 . 所 
以 定理 10. 1 可 以 叙述 成 ， 

整数 a 在 环 Z 中 可 逆 , 当 且 仅 当 (a,m)=1. 

例如 e=25 与 m=192 互 素 ,所 以 25 是 环 
2 中 可 逆 元 素 , 前 面 已 算出 25 的 逆 为 d= 
25 二 169. 在 环 Z。 的 所 有 m 个 元 素 0(= 冯 )， 
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上 


1,2,…,m 一 1 当中 ,可 逆 元 素 即 是 它们 中 间 与 
m 互 素 的 数 , 从 而 有 pg(m) 个 .于 是 剩 下 的 疡 一 
9g(m) 个 (包含 0) 都 是 不 可 北 的 . 

如 果 (a,m) 二 1, 则 对 每 个 整数 5, 方程 azx=6 
在 环 Z。 中 均 有 唯一 解 :x==6: a !=b/a. 所 以 环 
Z。 中 做 除法 有 一 定 限制 :只 有 与 mr 互 素 的 整数 
&( 可 逆 元 素 ) 才 可 做 除数 ( 即 分 数 的 分 母 ). 

按照 上 述 方式 , 欧 拉 定理 10.4 可 以 说 成 : 
当 (a ,xm) 王 1 时 ,ar 三 1, 从 而 oa 一 awm .而 
定理 10. 5 的 消去 律 可 以 说 成 :在 Z。 中 若 履 三 
ac, 则 当 (a,m) 王 1( 即 o 可 逆 ) 时 0 一 <. 

特别 当 m 是 素数 p 时 ,2 的 个 元 素 0， 
1,…, 思 一 1 当中 除 0 之 外 其 余 p 一 1 个 元 素 均 与 
思 互 素 (g(p) 二 p 一 1). 所 以 Do 中 非 零 元 素 均 可 
逆 ,在 2, 中 做 除法 已 达到 最 自由 的 程度 :2 中 
任意 两 个 元 素 都 可 做 除法 ,只 是 0 不 可 为 除数 
我 们 知道 整数 环 Z 都 没有 这 样 好 的 性 质 ,可 逆 
元 只 有 士 1( 当 整数 >1 时 ,a 的 逆 不 再 是 整 
数 ). 可 是 有 理 数 集合 ,实数 集合 和 复数 集合 , 除 : 
了 0 不 可 做 除数 之 外 ,任何 数 均 可 作 四 则 运算 ， 
这 样 的 集合 在 数学 上 叫 作 是 “ 域 ”. 

我 们 已 经 在 中 学 熟悉 了 有 理 数 域 .实数 域 
和 复数 域 中 的 四 则 运算 . 现在 ,我 们 又 有 了 一 批 


由 有 限 个 元 素 组 成 的 域 :有 限 域 Z,( 其 中 p 为 素 
数 ). 最 简单 的 域 为 二 元 域 2=10,11,1-:=1(1 
十 1=0). 其 次 为 三 元 域 Z; =10,1,2} ,运算 为 

1 二 2=2 十 1 =0，2 十 2 = 1,"… 

1—2=—1=2,2.'2=4=1, 

271 = 1/2 = 2,.…. 


又 如 在 Zs; 中 (53 为 素数 )， 
2 _2—53_ = _ 一 
9 9 9 3 
en 
WO 和 
等 


有 限 域 不 仅 是 数学 中 的 优美 结构 ,而 且 现 
已 成 为 计算 机 科学 和 数字 通信 中 不 可 缺少 的 数 
学 工具 , 我 们 在 第 12 和 13 节 将 看 到 有 限 域 在 
信息 安全 中 的 应 用 . 


习题 十 
1. 在 有 限 域 Z1; 中 作 除 法 运算 2/3,4/15. 


2. 取 n= 二 pq 二 11* 13, 构 作 RSA 公 和 钥 方 案 
中 的 全 部 密 钥 对 (e,d). 


~ 


11 离散 对 数 公 旬 方案 


一 一 原 根 与 指数 


现在 介绍 公 钥 体制 中 采用 的 另 一 种 方案 : 
离散 对 数 方案 . 它 是 基于 初等 数论 中 的 另 一 种 
单 向 水 数 . 
设 p 为 素数 ,根据 费 马 小 定理 ,对 于 每 个 与 
p 互 素 的 整数 a , 均 有 a ' 三 1(modp). | 
定义 11.1 设 (a,z)=1. 满足“ 三 
1(modp) 的 最 小 正 整 数 1, 叫 作 a 模 p 的 阶 . 模 
思 阶 为 (最 大 值 )p 一 1 的 整数 a 叫 作 是 模 p 的 
例如 ,对 p=7,1 模 7 的 阶 为 1(1 三 
1(mod7)), 一 1 模 7 的 阶 为 2(( 一 1)! 关 1,( 一 1)? 
三 1(mod7)). 对 于 a=2,2! 关 1,2:=4 关 1,2:= 


和 数论 与 密码 


8 三 1(mod7). 于 是 2 模 7 的 阶 为 3. 对 4 一 3, 容 
易 验算 当 1<i<5 时 ,3' 关 1(mod7) ,而 3 三 
1(mod7). 因此 3 模 7 的 阶 为 6=z 一 1, 即 3 是 
模 7 的 原 根 . 

在 初等 数论 中 证 明了 : 

(A) 对 每 个 素数 p 均 存 在 模 p 的 原 根 . 

今后 常用 g 表示 模 p 的 原 根 .而且 易 知 : 若 
& 三 g(modp),g 是 模 p 的 原 根 , 则 g 也 是 模 p 
的 原 根 . 从 而 模 p 的 原 根 是 模 p 的 一 些 同 余 类 . 
我 们 把 同一 个 模 p 同 余 类 中 的 原 根 看 成 是 一 个 
原 根 ( 通 常 取 此 同 余 类 中 在 1 至 p 一 1 中 间 的 那 
一 个 ). 例如 模 7 共有 两 个 原 根 :3 和 5(=3-!). 
一 般 地 还 可 证 明 : 

(B) 设 (a,p)==1. 如 果 a! 三 1(modp), 则 a 
模 p 的 阶 为 4 的 因子 . 特别 地 ,由 于 a?-! 三 
1(modp) ,可知 a 模 p 的 阶 必 是 p 一 1 的 因子 . 

(C) 若 g 是 模 p 的 原 根 ( 即 g 模 p 的 阶 为 
2 一 1). 则 对 每 个 整数 1, g' 模 p 的 阶 为 


7 二: 特别 地 , g' 是 模 p 的 原 根 当 且 仅 当 


=p 一 1, 即 当 且 仅 当 (1,p 一 1)=1. 


由 费 马 小 定理 可 知 ;: a l'(mod(p—1)), 
Na!=a! (modp). 所 以 由 (C) 可 知 ， 若 g 为 模 p 


IAN SN 


7 和 


一 个 原 根 , 则 模 p 的 全 部 原 根 为 
人 
这 表明 : 模 p 的 原 根 共 有 gp(p 一 1) 个 . 和 
例如 ,3 是 模 7 的 原 根 , 从 而 模 7 的 全 部 原 - 
根 共 g(7 一 1)==g(6)=2 个 , 即 3', 其 中 1&1<6 
并 且 (1,6)=1. 这 只 有 /=1 和 5. 因此 模 7 的 原 
根 有 两 个 :3! = 二 3 和 3;=3 1==5. 
(D) 设 g 是 模 p 的 一 个 原 根 , 则 p 一 1 个 数 
i 
一 定 模 pp 彼此 不 同 余 . (而 g*' 三 1 二 
g'(modp),g*=g,8""!=g*,*… (modp)). | 
这 是 因为 :如 果 有 i,j,oi<j<p 一 2, 使 
得 g’ 三 g'(modp). 由 于 (g,p) 二 1, 可 用 消去 律 
得 到 g 和 一 三 1(modz). 但 是 0<j 一 i 二 p 一 1, 这 
与 g 为 模 p 原 根 ( 即 阶 为 p 一 1) 相 了 矛盾 . 
从 (DD) 可 知 , 当 g 为 模 p 的 原 根 时 ,对 于 每 
个 与 p 互 素 的 整数 a ,都 有 i(0 二 i<p 一 2) ,使 得 
a 三 g'(modp), 因 为 g ,g' ,…,g*“ 模 p 彼此 不 
同 余 , 从 而 它们 不 计 次 序 各 自 同 余 于 1,2,…， 
Pid | 
定义 11.2 设 g 为 模 p 的 原 根 ,(a,p) 三 
1,4 三 g'(modp),0<i<p 一 2, 我 们 称 i 为 a( 对 
于 模 p 原 根 g) 的 指数 ,表示 成 ;一 inds(a). (ind. 


为 index( 指 数 ) 的 前 3 个 字母 ). 因为 它 很 像 是 
“a 以 g 为 底 的 对 数 ”, 所 以 i=indi (a) 也 叫 作 是 
4 的 高 数 对 数 
我 们 固定 素数 p 和 它 的 一 个 原 根 g. 给 了 
i(0<i<p 一 2) ,指数 运算 a 三 g'(modp) 是 容易 
的 ,但 是 给 了 与 p 互 素 的 整数 a 头 土 1, 求 离散 少 
对 数 i 是 非常 困难 的 ,目前 没有 多 项 式 算法 ,也 4 
就 是 说 ,给 定 p 和 g 之 后 ,由 i 求 a 是 单 向 函 
数 ,因为 由 a 求 i 很 难 . 这 是 离散 对 数 公 钥 方案 ( 
的 数学 基础 ， ， 
例 11.3 如 对 p=7,3 是 模 7 的 一 个 原 根 ， 
本 091 
3 三 1,3! =3,3:=2,3=6,3: 三 4, 
3 三 5(mod7) (3 = 1(mod7)) 
于 是 
ind;(1) = 0,， indi(2) = 2, 
indi(3) = 1,， ind;(4) = 4， 
ind(5) = 5,， ind;(6) = 3. 


现在 介绍 如 何 用 离散 对 数 来 作 加 密 和 数字 
签名 ,这 是 1985 年 由 埃 伽 玛 (ElIGamal) 提出 的 
方案 . 

用 户 A 选取 一 个 大 素数 p 和 模 p 的 一 个 
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原 根 g. 通常 取 p 为 大 约 100 位 的 素数 ,而 信息 3 
编 成 从 1 到 pp 一 1 之 间 的 数字 . 用 户 A 再 取 一 个 
整数 i(0Si<p 一 2). 计 算 5b 二 g'(modp). 把 p 
g8;b 均 公开 ,而 i 由 用 户 A 保守 秘密 ( 私 钥 ).6 
为 用 户 A 的 公 钥 . ; 

如 果 用 户 B 将 信息 z(1] 委 z 和 z 一 1) 发 给 用 
户 A, 加 密 和 解密 的 方式 为 : 

(I) 用 户 B 随 意 选 取 一 个 整数 &(1<kS 
一 2), 计 算 

a=g:(modp), ¢= bzr(modp), 

将 (a,c) 传 给 用 户 A, 此 时 (a,c) 就 是 信息 z+ 的 
密 文 . 

(《I) 用 户 A 收 到 密 文 (a,c) 之 后 ,用 自己 
的 私 钥 i 计 算 E 
a' 二 br(g) = (g')'r(g:) = zx(modp), 
便 恢复 成 明文 xz. 用 户 A 以 外 的 人 不 知 A 的 私 
钥 i, 由 公开 的 g,p,b, 求 i 是 困难 的 离散 对 数 问 
题 ,所 以 外 人 由 密 文 (a,c) 很 难 算 出 明文 x. 

用 户 A 作 数 字 签 名 时 ,发 送 的 信息 z 要 满 
足 0<zx<p 一 2. 签名 和 认证 的 过 程 为 : 

(I) 用 户 A 随意 取 一 个 与 p 一 1 互 素 的 整 
数 , 计 算 

c=g(modp) (l1<ce<p—1), 
(11.1) 


d= (zx—ic)k (mod( 力 一 1)) 
(0<ad<p—2), (11. 2) 
则 (c,Q) 就 是 用 户 A 在 信息 zx 上 的 签名 .用户 A 
把 信息 x 和 签名 (c,d) 同 时 发 给 用 户 B. 

(CT ) 任何 人 都 可 认证 信息 z 来 自用 户 A， 
因为 由 用 户 A 的 公 和 钥 b 和 签名 (c,d), 根 据 
(11.1) 和 (11.2) 式 可 知 

bog .gg (modp), 
邓 由 公开 的 p,g,6, 签 名 (c,d) 和 信息 z 直接 验证 
同 余 式 .三 g*(modp) 成 立 ,就 可 认证 信息 zx 
来 自用 户 A. 

现在 分 析 这 种 数字 签名 的 安全 性 . 

( 硬 ) 如 果 用 户 A 之 外 的 人 想 要 对 信息 x 
伪造 用 户 A 的 签名 , 即 他 要 给 出 两 个 整数 c 和 
d1 委 c 委 加 一 1,0 委 d 委 少 一 2), 使 得 mc 三 
8 (modp). 如 果 给 定 c 求 指数 4d ,这 是 困难 的 离 
散 对 数 问题 . 如 果 给 定 d 求 c 满足 此 同 余 式 , 目 
前 也 没有 好 的 算法 ,所 以 外 人 伪造 用 户 A 的 签 
名 是 很 困难 的 . 

(N) 用 户 A 在 签名 (c,d) 中 没有 把 他 的 私 
钥 i 泄 漏出 去 , 因为 在 d 夺 (x 一 ic)k!(mod(p 一 
1)) 中 只 有 d,z,c,p 是 公开 的 . 破译 这 需要 知道 
k, 而 从 c 三 ge (modp) 来 求 《 是 困难 的 离散 对 数 


VIA 


本 


问题 . 
(Y) 缺点 :用 户 A 不 能 用 同一 个 值 对 两 ， 
个 不 同 信息 zi 和 zz (zi 关 zz(mod(p 一 1))) 同 ， 
时 做 签名 . 因 若 用 同一 个 上 同时 对 zi 和 xz 分 
别 做 签名 (ci ,di ) 和 (ci ,dz ) , 则 
a 三 gt 三 c(modp)(l a,c < p—1), 
(11. 3) 
di= (Zi —ici)k (mod( 力 一 1))， 
ds= (zs — ics)k (mod( 力 一 1))， (11.4) 
由 (11. 3) 式 可 知 Cl 三 Cz. 然后 将 (11. 4) 中 两 个 
同 余 式 相 减 , 便 得 到 和 
k(di—d:)=zx1— zx(mod(p—1)), 
(11..5) 
这 个 同 余 式 中 外 人 不 知道 的 只 有 记 d= (di 一 
ds,p 一 1), 可 以 证 明 :满足 (11.5) 的 &(1<k< 
p 一 1) 只 有 d 个 ,并 且 这 d 个 由 (11.5) 式 容易 
算出 ( 见 下 面 例子 ). 可 以 用 a 三 g*(modp) 来 验证 
哪个 是 正确 的 (这 里 a,g,p 都 是 公开 的 ). 如 果 ， 
a 与 p 一 1 互 素 ( 当 p 很 大 时 ,a 与 p 一 1 互 素 的 


概率 全 2 接近 于 1), 便 可 由 (11.4) 式 算出 


i 三 (zi1— dik)cr (mod(p—1)), ] 
一 旦 用 户 A 的 私 钥 i 被 破译 ,就 可 对 任意 信息 


伪造 用 户 A 的 签名 
例 11.4 取 p=19 和 模 19 的 一 个 原 根 
g 一 2. 用 户 A 取 私 钥 ;一 5. 则 用 户 A 的 公 钥 为 
b=13(b=g'=2: 三 13(mod19)). 
(I) 加 密 . 用 户 B 将 信息 x=6 发 给 用 户 
A. 加 密 方法 是 :用 户 取 k=3, 计 算 
a 三 g* 三 2 = 8(mod19), 
5c 三 从 三 13 .6 三 15(modl19). 
用 户 B 把 x=6 的 密 文 (a,c)=(8,15) 传 给 用 户 
A. 
用 户 A 收 到 密 文 (a,c)==(8,15) 后 ,用 自己 
的 私 钥 i=5 计算 
Xz 三 Cc"a' 三 15. 8” 
三 (一 4) . 2 三 一 2-3(modl19) 
三 一 2 三 一 32 三 6(mod19), 


(由 费 马 小 定理 :2* 二 1(mod19))， 
便 得 到 明文 z=6. 

(I) 签名 和 认证 . 用 户 A 将 信息 z=6 做 
数字 签名 , 取 k=5( 与 p 一 1==18 互 素 ), 然 后 计 
算 

c= gt 三 2 = 13(mod19), 


= 


095 


一 30 
5 
则 用 户 A 对 信息 z=6 的 签名 为 (c,d)=(13 

17). 

认证 这 个 签名 就 是 看 6: c* 二 g* (mod19， 
是 否 正确 , 即 要 验证 133, 13" 二 2;(mod19). 读 
者 可 自行 验证 . 

( 严 ) 如 果 用 户 A 又 用 &=5 对 信息 x = 
签名 ,由 于 

c= gt = 13(mod19), 

9—5.13 

5 


一 13 三 -6 一 13 三 17(modl18) ,本 


d’= (x —ic’)k! = 


全 一 13 二 14(mod18)， 
则 用 户 A 对 信息 x'=9 的 签名 为 (c,d’)=(13， 
14). 

某 用 户 收 到 用 户 A 对 信息 x=6 的 签名 (cs 
d) = 二 (13,17) 和 对 信息 z=9 的 签名 (c ,d) 三 
(13,14). 由 c=c 一 13 可 知 用 户 A 在 这 两 个 签 
名 中 使 用 了 同一 个 & 值 .于 是 


kd x ic; 


hd’ =zx—i’ =r—ic(mod(p—1)). 
从 而 k(d' 一 d) 二 x 一 tz(mod(p 一 1)), 即 (14 一 
17)k 二 9 一 6(mod18),3k 三 一 3(modl18) ,这 相当 


于 全 一 1(mod6),. 在 1 委 必 18,(,18)=1 条 件 
下 k= 二 5,11 或 17. 由 c 三 gt (modp) 即 13 二 
2*:(mod19) 可 验证 这 三 个 可 能 的 值 中 =5 满足 
此 同 余 式 . 再 由 

kd = zxz—i(mod(p— 1)), 


即 
5.17=6—i.13(mod18), 
便 破译 用 户 A 的 私 钥 
;6—5.17_6+5_ 6+5 
1 
= -=6—1= 5(mod18). 
097 
习题 十 一 


1. 设 p 为 素数 ,a! 夺 1(modp). 证 明 a 模 p 
的 阶 是 : 的 因子 ， 

2. 设 嫁 为 素数 ,a 模 p 的 阶 为 &, 则 对 每 个 
整数 1,a! 模 p 的 阶 为 4/(d,/). 

3. 设 请 为 素数 ,4 为 p 一 1 的 正 因子 . 则 在 1， 
2,… ,一 1 当中 模 记 阶 为 d 的 整数 共有 8(d) 个 . 

4. 设 记 为 素数 ,a 和 6 模 p 的 阶 分 别 为 xn 和 
m. 如 果 n 和 m 互 素 , 证 明 ab 模 p 的 阶 为 nm. 


soso ssa 0008800800000000.r00r0000 


5. 设 整 数 x 和。 均 与 素数 p 互 素 ,g 为 模 户 
的 一 个 原 根 . 证 明 : inds (ab) 三 inds (a) 十 
inds (8)(mod(p—1)) 
6. 决定 1,2,… ,18 模 19 的 阶 . 
7. 证明: 费 马 数 F, = 二 2* 十 1 的 素 因子 必 有 
形式 p= 二 2"T!a 十 1, 其 中 a 为 正 整 数 . (提示 : 先 
证 2 模 p 的 阶 为 2"1! ,再 证 2”"!|(p 一 1). ) ( 汗 
记 ; 特 别 对 F; 二 2* 十 1, 它 的 素 因 子 为 p=6 纺 
十 1. 当 a 二 1,2,5,6,8 时 ,64a 十 1 不 是 素数 . 对 
于 “一 10 , 欧 拉 发 现 641 为 F; 的 素 因 子 . 请 验证 
这 件 事 , 即 验证 2 三 一 1(mod641). ) 


12 密 钥 管理 和 更 换 


一 一 有 限 域 上 的 多 项 式 


公 钥 体制 得 到 广泛 的 应 用 ,但 是 不 能 完全 
代替 私 钥 体制 ,在 许多 场合 目前 仍 采用 私 钥 体 
制 进行 保密 通信 . 公 钥 的 思想 可 以 用 来 解决 私 
钥 体制 中 的 一 些 重要 问题 . 本 节 介 绍 采用 离散 
对 数 思 想 解决 私 钥 保 密 系 统 中 大 量 密 钥 的 管理 
和 密 钥 更 换 问 题 . 

保密 通信 的 核心 是 密 钥 的 设计 ,但 是 大 量 
密 钥 的 传输 、 更 换 和 管理 也 是 一 些 重要 的 问题 . 
如 果菜 公司 有 个 用 户 ,彼此 之 间 需 要 使 用 
n(n 一 1)/2 对 密 钥 ,每 对 用 户 之 间 密 钥 的 产生 和 
更 换 均 需 非常 安全 的 通道 传送 ,以 防止 密 钥 被 
穷 取 ,这 就 需要 n(n 一 1)/2 条 安全 的 通道 来 传 


有 


7 了 


' 王 生 和 更 换 密 钥 采 取 如 下 方式 . 


送 密 钥 . 公司 需要 有 一 种 安全 的 体制 来 处 理 这 
些 密 钥 管 理 问 题 . 目前 多 采用 由 公司 设立 密 铀 
管理 中 心 的 办 法 ,由 管理 中 心 设计 和 分 配 密 铀 ， 
只 需 n 个 安全 通道 传送 (分 配 ) 给 每 个 用 户 . 
事实 上 , 公 钥 体制 的 创始 人 狄 非 和 海尔 量 
在 提出 公 钥 思想 时 ,一 开始 就 是 为 了 解决 密 锅 
管理 问题 . 我 们 用 离散 对 数 方 法 来 说 明 他 们 的 
密 钥 管理 方案 . 1 
设 公司 有 个 用 户 Al,…,A,. 管理 中 心 选 
一 个 大 素数 p(p 二 n) ,再 取 定 模 p 的 一 个 原 根 
8. 然后 随意 地 选取 郊 个 整数 ai ,av(2 委 as 所 
pp 一 2) ,把 每 个 a; 用 安全 的 通道 秘密 地 分 配给 
用 户 4A;(1 委 ;i 委 站). 同时 计算 4 三 g* (modp》 
(1<i<n). 公司 把 p,g,b:(1<i<n) 均 公开 ,但 
是 对 每 个 i(1<i<n), 只 有 用 户 A; 知道 ai, 外 
人 由 公开 的 p,g ,6; 计算 离散 对 数 a; 是 困难 的 。 
在 管理 中 心 完成 上 述 工 作 之 后 , 用户 之 此 
(I ) 密 钥 生 成 用 户 A; 和 A; 之 间 通 信之 前 
要 决定 他 们 之 间 采 用 的 密 钥 . 办 法 是 :A; 计算 
2 (modp)( 用 户 A; 知道 ai, 而 6 是 公开 的 ) ,AF 
计算 将 (modzp). 由 于 
路 生 gw 生态 (modp). 


所 以 用 户 A; 和 A; 算出 同一 个 数 , 记 作 (1 二 
刀 竺 p 一 1). 把 三 作为 4 和 Ai 之 间 通 信 的 密 
钥 . 这 样 一 来 ,A; 和 Ai 各 自 进行 简单 的 同 余 式 
运算 ,不 必 传 送 密 钥 &. 第 三 者 只 知道 p,g,b; 
和 5b;, 其 中 b 三 g*(modp),b; 三 g%(modp). 巾 
b; 和 b; 计算 kj; 三 g”%i (modp) 是 困难 的 ,因为 第 
三 者 不 知 a; 和 ai， 

(I) 密 钥 更 换 如 果 用 户 A; 和 Ai 之 间 想 要 
更 换 密 钥 , 则 A; 和 A; 各 自 秘密 地 选取 一 个 a; 
和 aj ,然后 公开 入 三 g* (modp) 和 bb; 三 
g“(modp). 按 上 述 方式 ,有 

让 = pg 0 三 ; "(modp), 

Ai; 计算 b; “(modp),A; 计算 b;%(modp), 他 们 
得 到 同一 个 数 (modp) ,作为 双方 通信 的 新 密 
钥 ,这 个 新 密 钥 不 需 传送 . 


我 们 再 介绍 布 鲁 姆 (Blom) 于 1985 年 提出 的 
一 种 密 钥 分 配方 案 ,这 种 方案 利用 有 限 域 Z,。 上 
的 多 项 式 计算 . 

仍 设 某 公司 有 nn 个 用 户 A;,… ,A;. 密 钥 管 
理 中 心 取 一 个 素数 p 二 n, 再 取 有 限 域 Z, 中 性 
个 不 同 元 素 7 ，… ,rh. 和 rr，,…,r; 均 公开 . 

(1) 管理 中 心 在 Z, 中 随意 取 3 个 元 素 
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a,b,c( 可 以 相同 ). 由 此 形成 系数 属于 2 的 多 项 
式 
f(z,y) = a+b(z+y)+ery, 
这 是 对 称 多 项 式 , 即 f(x,y)==f(y,z). 
(2) 对 每 个 i(1<i<n) ,管理 中 心计 算 
gi(T)= f(sri) 
一 & 十 (zz 十 六 ) 十 c(zri) 
一 ai 十 pz， 
然后 把 g;(zx)=a; 十 Bx 分 配给 用 户 Ai. 也 就 
说 ,只 有 用 户 A; 知道 g(x) 的 系数 a: 和 (有 
中 两 个 元 素 ) ,其 中 , 
=a+bri, B= b+er. 
(3) 嘱 可 引 和 用 户 A; 和 Ai 通信 时 ， 用 
户 A; 计 算 gi(r;)==ai 十 Br;€2,( 用 户 A; 知道 
ai 和 Bi, 而 x; 是 公开 的 ), 用 户 A; 计算 g;(7i) 三 
gj 十 Bri, 由 于 
有 (mn) = nn) = f(rin)) = gy(n), 
所 以 用 户 A; 和 A; 计算 出 Z» 中 同一 个 元 素 
ki; ,这 两 个 用 户 之 间 通 信 便 采用 作为 密 钥 , 
不 需 传送 此 密 钥 . 
现在 分 析 一 一 下 这 个 密 铀 分 配方 案 的 安全 
性 . 
(I) 用 户 A; 和 A; 之 外 的 第 3 用 户 A ,得 


不 到 他 们 之 间 密 钥 心 的 任何 信息 . 

这 是 由 于 A; 只 知道 管理 中 心 发 给 自己 的 
gr(T)=@ +RBz. 对 于 用 户 A， 和 Ai 的 信息 ,Ax 
只 知道 公开 的 7; 和 rj (以 及 p), 但 是 不 知道 
gi(X)=a+Brz 和 gj(z)==@ 十 Bz, 即 用 户 A 
不 知道 Z。 中 元 素 a;,8; ,a; ,B; 的 值 . 在 这 种 情况 
下 ,由 关系 

gi(r;)= ai Bir; = ks 
=w tpre=g(n), 
不 能 决定 出 与 ， 

如 果 用 户 A 试图 破译 管理 中 心 设计 的 多 
项 式 f(z,y) 二 a 十 6b(z 十 y) 十 czy, 即 需要 决定 
三 个 系数 a,b,c. 但 是 用 户 A 只 知道 a4,B 和 公 
开 的 x, 即 只 知道 a,65,c 之 间 的 两 个 关系 

遇 守 Wi De (12.1) 
所 以 也 决定 不 出 a,6,c 的 值 . 因为 取 c 为 Z， 中 
任意 元 素 , 则 (12. 1) 式 给 出 
b= BO—cer, 
a=a—bri = a —Briteri, (12,2) 
即 a 和 5 由 c 所 唯一 决定 ,由 于 c 可 取 2Z， 中 p 
个 元 素 中 的 任意 一 个 ,因此 用 户 A; 根据 自己 掌 
握 的 信息 ( 即 (12.1) 中 的 两 个 关系 ), 只 能 确定 
出 (a,2,c) 的 取 值 是 之 个 可 能 当中 的 一 个 . 但 是 
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不 知道 究竟 是 哪 一 个 . 
用 户 A; 和 Ai 之 间 的 密 钥 &; 为 
g(rjsri)= a+b(ritr) eri 
=a—Britcrit (BO— er:) 
A oT a 
=c(n—ri)(re CO—r;) 十 wx 
二 Br —7%), 
由 于 ri,r; 和 rs 是 2Z。 中 不 同 元 素 , 所 以 (7 一 
i) (rs 一 r;) 关 0. 因此 , 当 c 过 2 中 2 个 不 同 元 
素 时 ,g(x; ,ri) 也 恰好 过 2Z, 中 个 元 素 . 这 就 束 
明 , 用 户 A 凭借 自己 的 知识 来 猜测 A, 和 Aj; 之 
间 的 密 钥 &; ,ki 为 Z 中 每 个 元 素 的 概率 是 一 
样 的 , 即 Ai 得 不 到 ;的 任何 信息 . 当然 ,对 于 
个 用 户 之 外 的 人 ,更 是 得 不 到 &; 的 任何 信息 ，， 

(IT) 任何 两 个 用 户 A 和 A, 联手 ,可 以 破 
译 管理 中 心 设计 的 多 项 式 f(x,y)= 二 a 十 b(z 证 
y) 十 czy, 从 而 可 破译 任意 两 个 用 户 A 和 Ai 之 
间 的 密 钥 &;. 

这 是 因为 :用 户 As 和 A, 把 管理 中 心 分 配 ， 
给 他 们 的 w ,Bi ,a,B 合 在 一 起 ,再 加 上 公开 值 
ri 和 7x,, 便 得 到 关于 a,5b,c 的 四 个 关系 式 : 

Qa: = a+bri, a = a br,, 


B=6+ers, B= b+eri. 人 


前 两 个 关系 给 出 b= (a 一 a,)/(ri 一 rx ), 后 两 个 
关系 给 出 c= 二 (B 一 B)/(ni 一 7), 最 后 求 出 a= 
a 一 bri. 所 以 At 和 AAA, 联手 可 破译 F(z,y). 然 
后 对 任意 两 个 用 户 A; 和 Ai 均 可 算出 他 们 之 间 
的 密 钥 嫩 三 f(x; ,ri), 因 为 r; 和 rx; 是 公开 的 . 

(由) 如 果 管 理 中 心 想 更 换 密 钥 ,需要 更 换 
多 项 式 f(t,y). 即 选取 2 中 另 三 个 元 素 a' ,6'， 
c ,形成 新 的 多 项 式 / (zx,y)==a' 十 V(x 十 y) 十 
czy. 再 取 2 中 个 不 同 元 素 ri ,…,r,. 对 每 
个 i(1<i<n), 计 算 g;(z)= 了 (zx,ri)=ai 十 
BI, 其 中 a =a' 十 bi ,B=5 十 eri, 然后 把 
(ai 8 ) ,分 配给 用 户 Ai. 而 p 和 ri ,…,r, 公 
开 . 对 于 两 个 用 户 A; 和 A; ,它们 改 用 的 新 密 钥 
为 ky =a; +B'r; =a; +pB,r;. 


习题 十 三 


管理 中 心 在 更 换 密 钥 时 ,能 否 不 改变 f(z， 
y)( 即 不 改变 sc,2 和 < 的 值 ) ,而 只 把 ri ,… ,x, 换 成 
新 的 一 组 nv ，…,r, ,并 将 /(z,ri)=ai 十 Bz 分 
配给 用 户 A;? 
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1 2 密 钥 共享 一 一 拉 格 朗 日 
插值 公式 


我 们 知道 ,发 射 核武 器 的 控制 按钮 只 由 一 
个 人 掌握 是 很 危险 的 . 重要 的 机 密 常常 需要 是 
够 多 人 的 意见 一 致 方 能 开启 . 这 就 提出 了 密 
管理 的 又 一 个 重要 问题 :在 很 多 情形 下 ,一 个 主 
密 钥 要 分 解 成 一 些 子 密 钥 如 ，,… ,&, ,分 别 由 坟 
个 人 Al,…,A, 掌握 . 只 有 足够 多 的 人 把 子 密 钥 
放 在 一 起 ,才能 揭示 出 主 密 钥 . 这 叫 作 密 钥 共 享 
间 题 . | 

我 们 这 里 只 考虑 比较 简单 的 情形 : 取 定 一 
个 整数 之 2 ,我 们 要 求 : 

(1) 任意 上 个 子 密 钥 放 在 一 起 可 以 决定 主 
密 钥 ; 


(2) 任意 :一 1 个子 密 铀 放 在 一 起 得 不 到 主 
密 铀 的 任何 信息 . 这 叫 作 门限 为 :的 密 铀 共享 . 

事实 上 ,前 节 所 述 的 布 鲁 姆 密 钥 分 配方 案 
也 可 看 成 是 += 2 的 密 钥 共享 方案 ,因为 可 把 
f(x,y) 看 成 是 主 密 钥 , 而 gi(z) 看 成 是 分 发 给 
A 的 子 密 钥 (1<i<n). 在 上 节 分 析 布 鲁 姆 方案 
的 安全 性 时 指出 ,任何 两 个 人 A 和 A, 一 起 可 
算出 主 密 钥 (z,y) ,而 每 个 A, 不 能 给 出 f(z， 
y) 的 任何 信息 . 所 以 这 是 门限 为 2 的 密 铀 共享 
方案 . 


本 节 我 们 介绍 沙 米尔 (Shamir) 于 1979 年 
给 出 的 一 种 门限 为 + 的 密 钥 共享 方案 . 这 种 方 
案 基 于 系数 属于 有 限 域 Z, 的 多 项 式 理论 . 读者 
在 中 学 已 经 学 过 系数 为 实数 或 复数 的 多 项 式 的 
许多 性 质 ,如 多 项 式 之 间 的 四 则 和 运算、 多项式 的 
根 等 . 下 面 介绍 有 限 域 上 多 项 式 的 一 些 性 质 . 读 
者 将 会 看 到 , 这些 性 质 和 系数 为 实数 或 复数 的 
多 项 式 情 形 几 乎 是 一 样 的 . 

(I) 多 项 式 环 Z[z]. 

我 们 今后 固定 一 个 素数 p. 系数 属于 有 限 
域 Z, 的 多 项 式 为 

f(x) = arr” 十 ariz”! 十 … 十 QZ 十 Qo， 
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其 中 ww ,an 均 是 Z, 中 元 素 . 如 果 天 全 
称 f(z) 为 n 次 多 项 式 . 于 是 ,0 次 多 项 式 光 
f(z) 二 a ,其 中 ao 是 2Z， 中 非 零 元 素 . 而 恒 等 于 
零 的 多 项 式 f(x) 三 0 可 认为 次 数 是 一 co , 即 次 
数 小 于 任何 非 零 多 项 式 的 次 数 . 
系数 属于 Z。 的 所 有 多 项 式 组 成 的 集合 记 
成 Z ,Lxj. 这 个 集合 中 有 加 \ 减 、 乘 运算 : 
(zirT 十 十 而 示 十 ao) 
土 (bz 十 baax”! 十 … 十 bx 十 bo) 
一 (@ 土 ,)x' 十 (ani 土 bi)x"m! 十 … 
十 (koi 主 页) 六 十 (os 士 加 )) 
(G2 
(十 二 二) 
一 QD ZI 十 (ap 十 Qib)Zrtm 1 
十 (aibnz 二 anibni a bn ri™? 
十 … 十 aobo. 
也 就 是 说 :两 个 多 项 式 相 加 (或 相 减 ) ,是 同 次 项 
系数 在 Z 中 相 加 (或 相 减 ) ,而 多 项 式 相 乘 则 利 
用 分 配 律 ,然后 合并 同 次 项 . 集合 Z,[z] 对 于 上 
述 运算 是 环 , 叫 作 有 限 域 2。 上 的 多 项 式 环 . 
不 难看 出 , 若 f(z) 和 g(x) 分 别 是 an 次 各 
次 多 项 式 , 则 f(z) 士 g(z) 的 次 数 不 超 过 nn 和 砚 
的 最 大 值 ,而 /(x)g(z) 的 次 数 为 n 十 m. 


力 [z] 中 两 个 多 项 式 相 除 不 一 定 为 多 项 式 . 
所 以 和 整数 环 2 的 情形 一 样 ,在 多 项 式 环 Z,[ x] 
中 也 有 整除 概念 . 

定义 13.1 设 f(z),g(zx)E€2,[z], 


f(x)#0. 如 果 红 2 是 多 项 式 , 即 存在 h(a)E 


Zslz] ,使 得 g(x) 二 f(z)h(z), 则 称 f(x) 整除 
&8( 工 )( 或 称 g(x) 被 /(z) 整 除 ) ,表示 成 f(x)| 
8(Zz). 这 时 ,f(z) 叫 作 g(z) 的 因 式 ,g(z) 叫 
帮 z) 的 倍 式 ， 


现在 设 /(z)=asx" 十 … 十 a。 和 g(x)== 
bmz" 十 … 十 bo ,分 别 是 Z,[zj] 中 的 nn 次 和 m 次 
多 项 式 , 妈 a, 了 关 0,6, 关 0. 如 果 mx 宇 n 宇 0, 我 们 可 
用 f(x) 去除 g(x), 先 得 商 式 cv bnx”", 可 使 
余 式 g(z) 的 次 数 小 于 m: 

BE(2) = dar" "f(a) + a (2 

其 中 

g(x)= g(xz)—arlbnr™ "f(z) 

二 
人 

上 式 右边 消去 m 次 项 ,从 而 余 式 g (x) 的 次 数 
小 于 g(z) 的 次 数 m. 如 果 g(x) 的 次 数 仍 大 于 
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/(z) 的 次 数 n, 则 继续 用 同样 方法 以 f(x) 去 除 
8 (Zz) 可 得 到 比 g (x) 次 数 更 小 的 余 式 . 经 过 有 
限 步 ,我 们 便 得 到 余 式 ,次 数 小 于 所 以 我 们 得 
到 多 项 式 环 Z,[z] 中 如 下 形式 的 带 余 除法 . 

带 余 除法 设 f(z),g(x)E€Z2,[zx]， 
jz) 天 0( 从 而 f(z) 的 次 数 宇 0) , 则 有 唯一 的 多 
项 式 g(z) 和 r(z)E 2,[x], 使 得 

g(xX) = q(x)f(z)+r(z), (13.1) 
其 中 r(z) 的 次 数 小 于 f(z) 的 次 数 . (qa(z) 和 
r(z) 分 别 叫 用 f(z) 除 g(z) 的 商 式 和 余 式 . ) 二 

证 明 已 经 表明 满足 上 述 条 件 的 g(x) 和 
r(x) 是 存在 的 . 只 需 再 证 唯一 性 ， 名 证 天 雪 
q(x),r (zx)E2,[z], 使 得 

g(x) =q (zr)f(z)+r (xz), (13.2) 
并 且 ~ (z) 的 次 数 小 于 f(z) 的 次 数 . 则 由 
(13.1) 和 (13. 2) 式 得 到 

r(x)—r(z) = (q(x)—g (x))f(z), 

(13. 3) 
如 果 q(x) 一 q(xz) 半 0, 则 上 式 右 边 次 数 宇 f(z) 
的 次 数 .但 是 左边 次 数 小 于 f(z) 的 次 数 . 这 一 
矛盾 表明 q(z) 一 g (xz)=0, 即 q(z)=q (zx). 从 
而 (13. 3) 式 左边 也 为 0, 即 x (x)= 二 r(xz). 这 就 
表明 了 (13. 1) 中 的 商 式 q(z) 和 余 式 r(x) 是 叭 


例 13.2 对 于 p= 二 3,Zs[zj] 中 的 多 项 式 
g(z) 王 2z3 十 2z 十 1 和 f(zx)=2zx: 十 2z, 用 f(x) 
除 g(z) 的 带 余 除法 算式 为 : 

二 十 汉 


2z2 十 2 2z 十 2z 十 1 
2z3? 十 2z 


: 


SR 

不 本 

gn 
RAR NG 
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所 以 商 式 和 余 式 分 别 为 zx 十 2 和 十 1, 即 
2zs 十 2z 十 1 一 (z 十 2)(2z: 十 2z) 十 (并 十 1)， 

(L[) 多 项 式 的 根 . 

设 F(z) 三 asz?" 十 av-iz 十 … 十 oo 是 有 [zz] 
中 多 项 式 . 对 2 中 每 个 元 素 c, 将 z==c 代 入 /(z) 
算出 的 Z， 中 元 素 

QC" 十 Qnric”! 十 … 十 ao 

叫 作 f(x) 在 z=c 处 的 取 值 ,表示 成 f(c). 如 果 
/(c)=0, 称 c 为 多 项 式 f(z) 的 一 个 根 

定理 13.3 (1) 设 /(z) 为 Z,[zxj] 中 多 项 
式 ,c 为 Z, 中 元 素 . 则 c 为 f(x) 的 根 当 且 仅 当 
zx 一 c 是 了 (zx) 的 因 式 ( 即 (z 一 c)|f(z)). 
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(2) Zi[z] 中 半 次 非 零 多 项 式 在 Z， 中 至 条 
有 个 不 同 的 根 . 
证 明 (1) 用 zx 一 c 去除/(z) 的 带 余 除 法 
余 式 的 次 数 要 小 于 x 一 c 的 次 数 1, 即 余 式 7 为 
Z。 中 元 素 . 因此 
f(x) = q(x)(z—o) +r, 
其 中 q(xz)E€2,[z]. 将 z=<c 代入 上 式 , 则 
(ec) 一 q(c) 十 (< 一 c) 十 一 关于 是 为 子 ( 工 ) 有 
根 ( 即 Fe)=0) 当 且 仅 当 =0, 即 当 且 仅 尖 
(zz) 王 (2 一 2)d(z) 也 就 是 当 且 仅 当 z 一 < 是 
f(z) 的 因 式 . : 
(2) 设 f(z) 是 2Z,[z] 中 nn 次 多 项 式 (n 宇 0) 
而 c ,…,cn 是 f(x) 在 2 中 以 个 不 同 的 根 .由 
(1) 中 所 证 知 
f(z) = (z—a)g(z),g(z) € ZLz], 
代入 z=6 给 出 
0= f(¢) = (0 —c)g(c). 
由 假设 ci 关 c; ,从 而 g(cs)=0. 于 是 又 有 
g(x) = (zx—c2)h(z), 
其 中 h(z)€EZs[zj. 因此 
f(z)= (rz—c)(r—c)h(z). 
由 于 1,cs,… ,cn 两 两 不 同 并 且 均 是 f(x) 的 根 ， 
上 面 推理 继续 下 去 可 知 
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f(z2) 二 《和 一 (5 
i(zx) E Zt; 
比较 此 式 两 边 的 次 数 可 知 n 宇 m. 即 f(x) 在 2 中 
不 同根 的 个 数 m 不 超过 f(x) 的 次 数 n. 证 毕 . 

定理 13.4 (1) 设 /(z) 和 g(x) 均 是 Z,[x] 
中 次 数 委 2 的 多 项 式 . 如 果 它 们 在 Zr 中 十 1 个 
不 同 元 素 处 的 取 值 均 相同 , 则 f(x) 二 g(z). 

(2) 设 w，…as+i 是 Do 中 ?十 1 个 不 同 的 元 
素 ( 于 是 2 十 1 委 思 ) ,而 名 b+ 是 Zs 中 任意 
?十 1 个 元 素 . 则 2 [zj] 中 存在 唯一 的 次 数 科 ?的 
多 项 式 f(x) ,使 得 f(a;)==b(1i<n 十 1). 事实 
上 ,这 个 多 项 式 为 

f(z) 


_ (zaz)(z—a3)'…(zr—ant) 


(al 一 0 )(al 一 a3)…(al — ant1) 


( 垃 一 al )( 工 一 03)…( 工 一 Crtl) 3 
(az —ai)(a2 一 a3 )…( 并 一 anH 奖 


( 袜 一 al )…( 并 一 aF1)( 袜 一 Qt) (rz—arn) , 
(ai—a)(ai—ami)(ai 一 at) (一 ar) 


二 (z 一 al )( 工 一 az2 )…( 工 一 ar) 
eT (Qntl 一 al )(arH — a2)""* (antl — an) 


(13.4) 
证 明 (1) 由 假设 知 存在 Z。 中 不 同 元 素 
csCnt1, 使 得 Fa) 一 gc)( 和 未 2 十 1). 于 


bntl, 
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是 几 z) 一 &(z) 有 ?十 1 个 不 同根 c ,ce+l' 但 
是 f(x) 一 g(x) 的 次 数 <<n, 由 定理 13.4(2) 可 知 
f(x)—g(zx)=0,Bf(z)=g(z). 

(2) 唯一 性 由 (1) 推 出 . 再 证 存在 性 , 即 证 
由 (13. 4) 式 右边 定义 的 多 项 式 f(x) 满足 条 件 . 
首先 ,(13.4) 式 右边 每 项 均 是 次 数 过 n 的 多 项 
式 , 所 以 它们 的 和 f(z) 是 次 数 <n 的 多 项 式 . 进 
而 ,对 每 一 项 : 
fi(z) 


a (ST(s ea) "(0 
人 


(1<i<nt+1), 
它 在 z=c; 的 取 值 为 5;, 而 当 j 关 i 时 , 它 在 x 二 
ci 的 取 值 均 为 零 由 此 可 知 ,这 些 项 之 和 f(z) 
在 zx=c; 的 取 值 为 6;: 
jc)= fi(e) + + fi(e) + + fiale) 
二 0 十 … 十 0 十 b 十 0 十 … 十 0 二 4b 
(1&i<n+1), 

从 而 f(z) 满 足 条 件 .证 毕 . 

公式 (13. 4) 叫 作 拉 格 朗 日 插值 公式 . 

有 了 以 上 准备 ,现在 可 以 介绍 沙 米尔 门限 
为 :( 宇 2) 的 密 钥 共 享 方案 . 设想 把 主 密 钥 由 驳 


个 人 A!,…,A， 共享 (n 之 t). 密 钥 控制 中 心 选取 
一 个 大 于 n 的 素数 之 , 取 有 限 域 Z, 中 一 个 元 素 
作为 主 密 钥 . 再 随意 取 Zr [z] 中 一 个 :一 1 次 
的 多 项 式 

h(z) =d xz! dsr 二 …: 

Sy 天 汪 0 
其 中 常数 项 do 取 为 主 密 钥 8, 即 ==h(0). 控制 
中 心 再 取 2 中 个 不 同 的 非 零 元 素 a1,… ,a 
(由 之 n 知 这 是 可 能 的 ). p,a1,…,a, 可 以 公 
开 . 控制 中 心计 算 b;==h(ai)€ 2,(1i<n), 然 
后 对 每 个 i(1<i<n) ,把 6b; 秘密 传送 给 A; 作为 
Ai 的 子 密 钥 . 我 们 现在 证 明 这 是 一 个 门限 为 上 
的 密 钥 共享 方案 ， 

(I) 任意 上 个 人 聚 在 一 起 必 可 决定 主 密 钼 
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为 了 符号 简单 ,不 防 设 这 t 个 人 为 Ai,…， 
4,. 这 zt 个 人 联手 便 知道 61,…, bb, 公开 值 
Q1,"… ,Qs 以 及 关系 式 h(ai)= 二 bi(1<&i<t). 由 于 
h(z) 是 Z, [xz] 中 1 一 1 次 多 项 式 ,根据 定理 
13. 4, 它 由 上 个 不 同 点 al,…，,a: 的 取 值 6: ,… ,& 
所 完全 决定 , 即 由 拉 格 朗 日 插值 公式 有 


dl 
Ms) mh (ai 一 az)…(ai 一 Qi) 


py 


(zZ—a)(z—a)"(z—a) 
re 


(Tz—a1)'"(z— ac1) 
1 (a 一 0 (a —ari) 


于 是 可 算出 主 密 钥 


bias "a; 
k=h(0) = ("| 


baias3'**a; 
(一 ai)(az 一 as)…(as 一 ae) 


ba a ] 
(a —a) “(a 一 Ci) 


(I) 如 果 :一 1 个 人 联手 ,得 不 到 主 密 钥 
的 任何 信息 . 
不 妨 设 Al ,…,A,-: 联 手 ,他 们 知道 (ai) 三 
”b&b.(1&i<t 一 1). 由 于 a:(1&i<t 一 1) 均 是 非 零 
的 元 素 , 所 以 对 每 个 5€ 2Z, ,满足 f(ai)=b:(1 
i<i 一 1) 和 f(0)=6 的 次 数 科 :一 1 的 多 项 式 均 
恰 有 一 个 (定理 13.2). 也 就 是 说 ,根据 这 :一 1 
个 人 掌握 的 信息 ,Z， 中 每 个 元 素 为 (0) 的 可 能 
性 都 是 一 样 的 (进一步 分 析 可 知 ,只 有 一 个 5, 使 
这 种 多 项 式 f(x) 的 次 数 小 于 t 一 1). 所 以 t 一 1 
个 人 联手 得 不 到 6 主 密 钥 的 任何 信息 . 


以 上 我 们 介绍 了 信息 安全 中 的 一 些 问 题 


(签名 和 认证 、 密 钥 分 配 、 更 换 和 共享 等 ). 在 实 
际 应 用 中 还 有 许多 更 复杂 的 安全 性 问题 . 比如 
说 仲裁 问题 : 当 商店 和 用 户 在 付 钱 或 送 货 时 发 
生 争 执 时 ,如 何 选 定 仲裁 机 构 加 以 判决 ? 在 判 
决 过 程 中 ,双方 既 要 为 仲裁 机 构 提供 必要 的 信 
息 ,又 要 防止 泄漏 不 必要 的 机 密 . 又 如 所 谓 “ 零 
知识 证 明 " 问 题 : 某 人 需要 用 某 种 方式 向 对 方 表 
明 他 知道 某 个 问题 的 答案 ,但 是 不 能 把 答案 本 
身 告诉 对 方 ,诸如 此 类 的 信息 安全 问题 非常 重 
要 和 有 趣味 ,也 富有 挑战 性 . 


1 4 量子 密码 :保密 通信 的 


未 来 


我 们 向 大 家 介绍 了 几 种 典型 的 加 密 和 去 密 
方式 ,并 由 此 勾画 出 保密 通信 和 信息 安全 历史 
发 展 的 一 个 轮廓 . 加 密 和 去 密 的 消长 交替 构成 
了 密码 学 的 历史 ,这 是 智力 角 斗 的 千年 接力 赛 . 
人 类 社会 的 发 展 和 需求 是 这 场 角 斗 的 动力 ,而 
科学 和 技术 的 发 展 使 朋 斗 双方 不 断 地 吸取 养分 
和 增加 实力 . 

公元 前 后 的 凯撒 密码 使 用 了 简单 的 字母 移 
位 替换 加 密 手 法 ( 模 m 加 法 ). 后 来 发 展 成 字母 
之 间 的 各 种 替换 而 不 是 简单 的 移 位 . 这 增加 了 
密 钥 量 ,但 是 明文 中 的 每 个 字母 在 密 文中 仍 被 
同一 字母 所 替换 , 现在 看 起 来 ,这 种 密码 很 容易 


破译 . 但 在 历史 上 ,差不多 经 过 一 千年 ,凯撒 密 
码 于 公元 9 世纪 才 被 阿拉 伯 人 破译 . 这 是 由 于 
当时 的 阿拉 伯 人 具有 高 度 的 文明 . 他 们 从 中 国 
学 到 造纸 技术 ,每 年 能 出 版 上 万 本 书籍 , 仅 巴 格 
达 一 个 城区 就 有 超过 百 家 的 书店 . 公元 815 年 ， 
巴格达 建立 了 图 书馆 和 翻译 中 心 ,吸收 和 传播 用 
埃及 ,巴比伦 .印度 ,中 国 和 罗马 文化 和 自然 科 V 
学 知识 . 在 神学 院 里 ,为 了 校对 《古兰经 ) 中 启示 : 
录 中 每 句 话 出 自 穆罕默德 本 人 ,他 们 研究 单词 ly 
的 起 源 变化 ,句子 结构 和 字母 频率 . 正 是 由 于 数 
学 ,统计 学 和 语言 学 的 研究 ,导致 阿拉 伯 人 给 出 
破译 凯 撤 密码 的 频率 统计 方法 . 在 公元 9 世纪 
阿拉 伯 科 学 家 阿尔 一 一 金 迪 的 《关于 破译 加 密 
信息 的 手稿 ) 中 有 详细 的 描述 . 
公元 16 世纪 末期 发 明 的 维 吉 尼 亚 密码 克 
服 了 凯撒 密码 的 缺点 ,明文 中 同一 个 字母 在 密 
文中 被 加 密 成 不 同 的 字母 . 加 密 体制 又 占 了 上 
风 . 经 过 二 百 多 年 后 ,这 种 密码 体制 在 19 世纪 
中 期 才 被 破译 . 破译 者 是 英国 人 巴 比 奇 和 德国 
人 卡 西 斯 基 . 巴 比 奇 对 各 种 事物 都 充满 兴趣 ,他 
发 明 过 蒸汽 火车 前 部 清除 障碍 的 装置 ;利用 统 
计 学 知识 设计 了 人 口 死亡 率 统计 方法 ;统计 过 
树木 宽度 与 气候 的 关系 ,从 而 认为 研究 古代 树 
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木 可 能 会 得 知 过 去 的 气候 ;纠正 航海 学 中 计算 
纬度 的 航海 星 历 表 中 上 千 个 错误 ;并 在 政府 资 
助 下 研究 过 “差分 机 1 号 "计算 装置 . 但 他 在 自 
传 中 说 :“ 我 认为 破译 密码 是 最 迷人 的 事 ”. 运用 
统计 学 的 知识 , 巴 比 奇 大 约 在 1854 年 破译 了 维 
吉 尼 亚 密码 ,由 于 英国 情报 人 员 的 要 求 , 到 20 
世纪 这 件 事 才 公 布 于 世 , 另 一 个 独立 破译 维 吉 
尼 亚 密码 的 人 是 普鲁士 退役 军官 卡 西 斯 基 , 破 
译 于 1863 年 . 这 个 时 期 发 明了 有 线 电报 通信 方 
式 ,可 以 截取 大 量 密 文 电报 作为 破译 的 素材 , 欧 
洲 许多 国家 在 第 一 次 世界 大 战 时 期 均 以 政府 行 
为 组 织 破译 工作 . 直到 一 战 结束 ,破译 工作 在 与 
加 密 的 角力 中 一 直 占 据 上 风 . - 

加 密 方式 的 新 突破 产生 于 一 战 结束 之 后 ， 
一 个 重要 标志 是 发 明了 保密 机 . 机 械 式 的 保密 
机 早 在 15 世纪 就 开始 研究 ,在 无 线 电 通信 出 现 
之 后 ,相继 制造 电子 加 密 机 . 德国 ENIGMA 加 
密 机 的 研制 始 于 一 战 期 间 , 但 是 到 一 战 之 后 ,于 
1925 年 才 大 量 生 产 并 用 于 军事 . 加 密 体制 的 另 
一 个 突破 是 美国 人 发 明 的 伪 随 机 密 钥 (M 序 
列 ) ,由 于 电子 技术 的 进步 ( 移 位 寄存 器 ) , 它 作 
为 流 密码 的 基本 方式 一 直 使 用 至 今 . 到 了 第 二 
次 世界 大 战 期 间 , 破 译 工作 又 取得 惊人 的 突破 , 


Ac 


| 
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ENIGMA 加 密 机 在 1939 年 被 波兰 人 雷 日 斯 基 
破译 ,英国 政府 在 丘吉尔 首相 的 亲自 关怀 下 也 
组 织 图 灵 等 人 破译 ENIGMA 加 密 机 (我 们 说 
过 ,这 项 工作 一 直 保 密 到 1974 年 ). 二 战 期 间 破 
译 工作 的 最 大 发 展 是 在 美国 ,大 批 科学 家 转 到 
军 方 工 作 , 成 功 地 破译 了 日 本 的 密码 ,并 导致 香 
农 于 1948 一 1949 年 建立 信息 论 和 保密 通信 数 
学 理论 . 

1976 年 以 后 ,加 密 体制 又 得 到 重大 的 突破 ， 
这 就 是 公 钥 密 码 体制 . RSA 公 钥 和 离散 对 数 公 
钥 体制 被 用 于 信息 安全 的 各 个 方面 . 与 此 同时 ， 
人 们 也 在 研究 大 数 分 解 和 离散 对 数 的 多 项 式 算 
法 ,企图 攻破 这 两 种 公 钥 体制 . 我 们 已 经 看 到 ， 
RSA 体制 和 离散 对 数 体制 的 加 密 方式 都 只 用 
到 相当 简单 的 数论 知识 . 但 是 近 二 十 年 来 ,人 们 
在 改进 大 数 分 解 和 离散 对 数 算法 中 运用 了 非常 
高 深 的 数学 ,可 是 仍旧 没有 达到 目的 . 所 以 公 钥 
加 密 体制 至 今 仍 呈现 出 春风 得 意 的 局 面 . 

我 们 已 经 进入 21 世纪 . 在 新 的 世纪 里 , 保 
密 通信 会 有 哪些 动人 的 前 景 ? 从 20 世纪 末期 
人 们 就 纷纷 预测 保密 通信 的 未 来 ,一 个 最 热门 
的 话题 是 量子 计算 机 、 量 子 通信 和 量子 密码 , 

20 世纪 的 早期 ,人 们 用 机 械 式 的 手 摇 计 算 
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机 代替 了 手工 计算 .20 世纪 中 期 ,由 于 计算 机 数 ) 
学 理论 的 建立 和 电子 技术 的 发 展 ,出 现 了 电子 
计算 机 , 极 大 地 加 快 了 计算 速度 . 是 否 能 采用 新 
的 技术 ,制造 出 新 型 计算 机 比 电 子 计算 机 还 要 
快 ? 20 世纪 后 期 人 们 设想 了 采用 量子 物理 机 制 
和 生物 机 制 的 两 种 方案 , 即 量子 计算 机 和 生物 
计算 机 . 

英国 物理 学 家 戴 维 。 多 伊 奇 早 在 1985 和 
就 描述 了 量子 计算 机 的 设想 . 量子 物理 和 鞭子 
力学 起 源 于 20 世纪 初期 一 系列 物理 实验 ,描述 
微观 世界 里 粒子 (电子 、 质 子 光子 ……) 的 状态 
和 运动 规律 它们 与 经 典 物理 和 经 典 的 牛顿 力 
学 有 很 大 不 同 , 实验 表明 :电子 具有 粒子 和 波 的 
二 重 性 . 它 既 像 是 粒子 ,具有 一 定 的 质量 和 电 
荷 ,同时 又 具有 波 的 特性 , 即 有 干涉 和 衍射 现 
象 ,体现 出 波 的 相干 蚕 加 特性 . 1926 年 物理 学 家 
玻 尔 提出 了 描述 微观 粒子 物理 状态 的 “几率 波 ” 
方式 :在 每 个 时 刻 ,粒子 以 不 同 的 几率 (概率 ) 出 。 
现在 空间 的 任何 地 方 . 玻 尔 还 提出 了 “最 子 " 理 ， 
论 :原子 只 能 稳定 地 存在 于 某 些 离散 的 状态 ,其 
有 离散 的 能 最 (能 级 ). 原子 在 吸收 或 发 射电 磁 
辐射 改变 状态 时 只 能 从 一 个 稳定 态 到 另 一 个 稳 
定 态 跳 跃 式 地 进行 . 玻 尔 的 量子 理论 可 以 解释 


微观 物理 实验 的 许多 现象 . 也 是 在 1926 年 , 薛 
定 讨 根据 玻 尔 的 波 函数 理论 ,建立 了 反映 微观 
世界 运动 规律 的 薛 定 刘 方 程 , 对 于 单 粒 子 运动 
等 一 些 简单 情形 ,在 数学 上 计算 出 粒子 的 离散 
能 级 和 跃迁 时 所 需 的 辐射 频率 . 量子 力学 和 经 
典 力学 的 另 一 个 重要 区 别 是 测 不 准 原则 :在 任 
何 时 刻 都 不 能 同时 精确 测 出 粒子 的 位 置 和 动 
量 . 

-在 电子 计算 机 运算 时 ,每 一 位 (bit, 比 特 ) 有 
两 个 可 能 ,数学 上 表示 成 0 和 1. 每 个 基本 信息 
用 个 位 组 成 的 状态 向 量 来 表示 . 比如 19 展 成 
二 进 制 为 19=1 十 1 .2 十 0，2? 十 0 ，23 十 1 ， 
24 ,可 以 用 5 个 比特 的 (11001) 来 表示 , 它 是 Z 
中 的 元 素 .将 (11001) 和 (01101) 模 2 相 加 ,得 到 
(10100) ,5 个 位 上 同时 各 自 独 立地 (并 行 地 ) 做 
模 2 运算 . 在 量子 计算 机 中 ,用 粒子 具有 顺 时 针 
和 反 时 针 两 种 自 旋 形式 来 表达 数字 0 和 1, 这 叫 
一 个 量子 位 (quantum bit). 如 果 有 5 个 粒子 , 则 
它们 的 量子 状态 表 成 (11001) 时 , 指 的 是 第 3 和 
第 4 个 粒子 处 于 反 时 针 自 旋 状态 ,而 其 余 三 个 
粒子 处 于 顺 时 针 自 旋 状 态 . 但 是 实际 上 ,每 个 粒 
子 在 每 个 时 刻 都 处 于 重 倒 态 , 即 以 某 个 几率 p 
呈现 顺 时 针 自 旋 状 态 ,市 以 几率 g 呈现 反 时 针 
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自 旋 方 式 (p+g==1). 所 以 5 个 粒子 在 任何 时 刻 
都 以 某 种 儿 率 同时 呈现 2; = 32 种 可 能 的 自 施 
状态 . 在 5 个 粒子 受到 外 界 作用 (比如 测量 
这 32 种 状态 各 自 独立 地 同时 改变 , 即 可 以 同时 
进行 的 不 是 5 个 运算 ,而 是 2 = 32 个 运算 : 妖 
果 用 250 个 自 旋 粒 子 ,共有 2”~10” 种 自 旋 状 
态 , 它 能 同时 并 行 地 进行 10” 次 运算 ,所 需 时 间 
为 一 秒 钟 . 这 就 是 多 伊 奇 在 1985 年 提出 的 量 手 ， 
计算 机 基本 构想 . ， 

其 子 计 算 机 的 构思 引起 物理 界 和 计算 界 的 
极 大 兴趣 ,但 是 在 技术 实现 上 面临 巨大 的 困难 
首先 ,科学 家 不 知 如 何 计算 处 于 重 登 态 的 自 旋 ， 
粒子 . 重 权 态 只 能 在 没 被 观测 的 情况 下 才 会 存 
在 ,任何 观测 都 是 一 种 外 界 作用 ,而 每 种 外 界 作 
用 都 会 使 重 僵 态 受到 破坏 . 男 一 个 问题 是 不 能 
设计 出 量子 计算 机 的 运行 程序 , 即 不 能 确定 这 下 
种 计算 机 适合 进行 哪 种 类 型 的 计算 . 20 世纪 90 本 
年 代 以 来 ,许多 国家 都 把 量子 计算 列 为 重大 研 
究 项 目 ,一 些 实验 室 (如 美国 国防 高 科技 研究 中 。 
心 的 洛斯 * 阿拉 莫 斯 国家 实验 室 ) 都 在 研制 能 、 
处 理 量子 比特 的 技术 设备 (类 似 于 电子 计算 机 
中 的 芯片 ). 尽管 近年 来 不 断 有 新 的 突破 ,但 是 
现在 人 们 还 无 法 预测 量子 计算 机 何 时 得 以 真正 


实现 . 

与 实验 相 比 ,量子 计算 在 理论 上 似乎 走 得 
更 远 . 1994 年 ,美国 贝尔 实验 室 的 彼得 肖 尔 
(Peter Shor) 和 其 他 科学 家 建立 了 量子 信息 论 ， 
给 出 量子 计算 的 形式 化 理论 , 像 电子 计算 机 中 
的 逻辑 元 件 (“ 或 ” 门 , “与 ” 门 ,“ 非 ” 门 ) 那 样 , 设 
计 出 一 些 “ 量 子 ” 门 来 实现 量子 计算 的 一 些 基本 
的 并 行 运算 功能 . 由 它们 组 合成 量子 计算 程序 . 
基于 这 种 理论 , 肖 尔 对 于 大 数 分 解 和 离散 对 数 
问题 , 均 给 出 了 量子 计算 的 多 项 式 算 法 . 这 意味 
着 :如 果 量 子 计 算 机 一 旦 实现 ,那么 现在 的 RSA 
公 钥 体制 和 离散 对 数 方法 所 制作 的 信息 安全 措 
施 全 部 失效 ! 肖 尔 的 这 项 研究 得 到 通信 界 和 数 
学 界 的 高 度 评价 . 大 家 知道 , 诺 贝 尔 奖 不 设 数学 
奖 ,数学 研究 的 世界 最 高 奖 是 非 尔 兹 奖 ,在 每 4 
年 一 届 的 世界 数学 家 大 会 上 发 给 最 近 4 年 来 取 
得 最 高 成 就 的 年 轻 数学 家 . 从 1986 年 开始 , 世 
界 数学 家 大 会 设立 了 尼 凡 林 那 奖 ,授予 四 年 内 
在 数学 应 用 领域 获得 最 好 成 绩 的 年 轻 科学 家 . 
肖 尔 在 量子 计算 方面 的 数学 工作 荣获 1994 年 
在 柏林 举行 的 世界 数学 家 大 会 尼 凡 林 那 奖 . 

那么 ,加密 一 方 是 否 坐 等 量子 计算 的 实现 
从 而 破 掉 现 行 的 公 钥 加 密 体制 呢 ? 不然 ,物理 
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学 家 和 通信 专家 几乎 同时 都 在 构思 采用 量子 物 
理 机 制 的 新 型 通信 方式 (量子 通信 ) 和 新 型 加 密 
方式 (量子 密码 ). 量子 密码 的 想法 由 美国 哥 伦 
比 亚 大 学 毕业 生 威 斯 纳 于 1970 年 提出 的 ,他 用 
光子 偏振 的 测 不 准 原理 来 设计 “量子 "货币 ,可 
以 防止 造假 币 . 威 斯 纳 把 这 个 设计 写成 文章 , 连 
续 向 4 家 期 刊 投稿 , 均 被 退回 . 他 把 文章 寄 给 一 
位 大 学 同学 贝 内 特 ( 一 个 IBM 实验 室 的 研究 
员 ). 1985 年 前 后 , 贝 内 特 和 蒙特 利 尔 大 学 计算 
机 专家 布 拉 萨 德 一 起 采用 威 斯 纳 的 思想 ,设计 
了 一 个 量子 密码 方案 . 我 们 简单 介绍 一 下 这 种 
密码 采用 的 光子 偏振 原理 和 密 钥 生 成 方法 . 
光子 在 空间 运动 时 有 4 种 振动 形式 ,分 别 
表示 成 1 ,> ,~ ,>”. 在 测 最 光子 时 ,在 光子 运 
动 的 路 径 上 放 偏 振 片 作为 滤 光 器 . 偏振 片 有 两 
种 类 型 :十 型 和 X 型 . 振动 为 4 和 全 的 光子 在 通 
过 十 型 偏振 片 之 后 保持 原来 的 振动 形式 ,而 在 
通过 X 型 偏振 片 之 后 均 以 1/2 的 概率 变 成 z 或 
< 形式 振动 的 光子 . 类 似 地 ,振动 为 和、 的 光 
子 在 通过 X 型 偏振 片 之 后 均 保 持原 来 的 振动 形 
式 ,而 在 通过 十 型 偏振 片 之 后 均 以 1/2 的 概率 
变 成 振动 形式 为 + 或 汪 的 光子 . 利用 这 种 最 子 
物理 机 制 , 艾 丽 丝 和 鲍 勃 两 人 按 如 下 程序 来 生 


成 量子 密 钥 . 

(I) 艾 丽 丝 先 随意 发 送 一 串 二 元 序列 给 鲍 
勃 . 例如 发 送 101100110011. 要 把 这 个 序列 变 成 
振动 的 光子 序列 传送 给 鲍 勃 . 转变 有 两 种 方案 : 
十 方案 和 X 方 案 . 在 采取 十 方案 时 ,1 和 0 分 别 
转变 成 振动 为 4 和 全 的 光子 .在 采用 义 方 案 时 ， 
1 和 0 分 别 转变 成 振动 为 ” 和 ~ 的 光子 . 如 果 艾 
丽 丝 在 发 送 101100110011 时 ,每 位 采用 的 方案 
依次 为 十 十 X 十 XXX 十 X 十 十 X ,那么 转变 
成 的 光子 序列 的 振动 形式 依次 为 1 1 ~ 
”1 ~ tv , 艾 丽 丝 将 这 个 光子 序列 发 给 鲍 
勃 ( 见 图 9). 


艾 丽 丝 信息 的 顺序 
鲍 勃 的 检测 计划 
鲍 勃 的 测量 结果 
保留 信息 顺序 


图 9 基 子 密 钥 的 生成 
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(1) 鲍 勃 要 测 出 这 个 光子 序列 的 振动 方 
向 . 但 是 鲍 勃 不 知 艾 丽 丝 对 每 个 光子 所 用 的 是 
二 方案 还 是 X 方 案 . 他 对 每 个 光子 只 能 随机 地 
使 用 十 型 偏振 片 或 X 型 偏振 片 来 检测 . 比如 说 ， 
鲍 勃 使 用 的 检测 器 型 号 依次 为 十 X 十 十 X X 十 
十 X 十 XX, 第 一 位 上 两 人 采用 的 型 号 均 为 十 ， 
第 一 个 光子 ! (表示 1) 在 通过 十 型 检测 器 之 后 
仍 为 + ,从 而 数字 1 被 正确 检测 出 来 . 第 二 位 上 
两 人 采用 的 型 号 不 一 致 (分 别 为 十 和 X), 第 二 
个 光子 (数字 0) 在 通过 X 型 检测 器 时 各 以 1/ 
2 的 几率 被 测 成 > (数字 1) 或 ~ (数字 0), 所 以 
检测 正确 和 错误 的 可 能 性 各 占 一 半 . 其 他 位 的 
情形 也 是 如 此 , 鲍 勃 的 测量 计划 和 结果 见 图 :9 
下 部 的 第 2 行 和 第 3 行 所 示 . 

然后 , 艾 丽 丝 通过 (不 安全 的 ) 电 话 告知 鲍 
勃 她 所 采用 的 偏振 方案 序列 十 十 X 十 X XX 十 
X 十 十 X ,而 鲍 勃 也 告诉 艾 丽 丝 他 的 检测 序列 
(十 X 十 十 XX 十 十 X 十 XX ) 中 哪些 位 与 艾 丽 
丝 的 序列 一 致 . 在 我 们 的 例子 中 ,两 个 序列 的 第 
1,4,5,6,8,9,10,12 位 是 一 致 的 ,在 这 些 位 上 鲍 
勃 检测 出 正确 的 结果 . 而 在 其 他 位 上 鲍 勃 测 出 
的 结果 只 有 1/2 的 几率 是 正确 的 ,在 图 9 下 部 
第 4 行 中 这 些 位 标 成 一 . 把 这 些 一 去 掉 , 正 确 的 


8 位 缩 成 序列 11001001, 艾 丽 丝 和 鲍 勃 通信 时 
就 以 它 作 为 密 钥 . 

(五 ) 如 果 第 三 者 伊美 想 截取 艾 丽 丝 传送 的 
振动 光子 序列 , 伊 芙 事先 不 知 艾 丽 丝 的 偏振 方 
案 序 列 和 鲍 勃 的 检测 序列 ,她 只 能 自行 设 定 自 
己 的 检测 序列 .随后 ,即使 伊 芙 窃听 了 艾 丽 丝 和 
鲍 勃 之 间 的 通话 ,得 知 他 们 之 间 序 列 哪 些 位 是 
相 一 致 的 ,比如 说 第 一 位 均 是 十 ,那么 伊美 选 定 
的 检测 序列 中 ,第 一 位 有 1/2 的 几率 为 X. 从 而 
伊美 在 第 一 位 测 出 的 光子 为 或 ~. 注意 艾 丽 
丝 在 电话 中 只 告诉 鲍 勃 在 第 一 位 使 用 十 型 偏振 
方案 ,并 没有 透露 第 一 个 光子 为 +. 由于; 和 个 
在 伊美 用 X 型 检测 器 时 ,都 以 同样 的 几率 测 成 
?或 ,所 以 伊美 无 法 决定 艾 丽 丝 第 一 位 是 1 
还 是 二 . 这 样 一 来 ,在 艾 丽 丝 和 鲍 勃 生成 的 密 钥 
中 , 伊 半 有 半数 的 位 上 不 能 确定 是 0 还 是 1. 即 
得 到 完整 密 钥 的 可 能 性 是 极 小 的 . 

(TY) 艾 丽 丝 和 鲍 勃 可 以 发 现 伊美 在 截取 信 
息 . 办 法 是 : 鲍 勃 把 密 钥 中 的 一 些 位 上 数字 重新 
发 给 艾 丽 丝 , 艾 丽 丝 可 检查 这 些 数字 与 原来 是 
否 一 致 . 比如 密 钥 第 一 位 数字 1 由 艾 丽 丝 用 十 
型 方案 发 出 为 光子 1 , 鲍 勃 用 十 型 检测 后 也 是 
1 . 如 果 伊 芙 先 于 鲍 勃 用 义 型 检测 ,光子 改 成 ” 
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或 .然后 鲍 勃 再 用 十 型 检测 ,会 有 1/2 的 几率 ， 
测 成 全 . 鲍 勃 把 测 出 的 汪 ( 代 表 数 字 0) 传 回 艾 丽 
丝 之 后 , 艾 丽 丝 用 原来 的 十 型 方案 收 到 全 与 发 
出 的 1 不 一 致 .所 以 在 伊 甘 截取 信息 的 情况 下 ， 
鲍 勃 把 密 钥 中 某 些 位 重新 发 回 给 艾 丽 丝 的 时 
候 , 艾 丽 丝 会 发 现 有 一 些 位 上 与 原来 信息 不 同 ， 
这 种 错误 表明 有 人 在 窃取 , 可 以 重新 设置 新 的 
密 钥 . 

这 样 做 成 的 量子 密 钥 是 完全 随机 的 序列 ， 
并 且 每 个 密 钥 使 用 一 次 就 更 换 , 发 明 者 宣称 ,这 
种 量子 密码 在 理论 上 是 “绝对 不 可 破译 的 ”. 但 
是 在 目前 ,量子 通信 和 量子 计算 一 样 , 仍 处 于 实 
验 阶 段 . 1988 年 , 贝 内 特 和 他 的 助手 在 实验 室 里 
进行 了 “绝对 安全 ”的 量子 通信 ,但 是 两 地 的 距 
离 只 有 30 厘米 . 1995 年 ,日内瓦 大 学 研究 人 员 
在 长 达 23 公里 的 光纤 上 把 量子 密码 成 功 地 从 
日 内 瓦 传 到 尼 合 . 1999 年 ,美国 洛斯 .阿拉 莫 斯 
国家 实验 室 在 空气 中 把 量子 密 钥 传 了 1 公里 
远 . 而 在 破译 者 那 一 方 ,2000 年 人 们 用 量子 计算 
装置 在 实验 室 里 用 肖 尔 的 量子 算法 完成 了 分 
解 :15 王 3. 5(!). 在 未 来 ,是 量子 计算 机 先 获 成 
功 , 从 而 打败 目前 的 公 钥 体制 ,还 是 量子 通信 首 
先 得 以 实现 ,建立 起 新 型 的 量子 密码 体制 ,这 是 


本 世纪 的 一 大 悬 念 . 

最 后 向 大 家 介绍 几 本 密码 学 和 信息 安全 方 
面 的 中 文书 籍 . 普及 性 读物 如 下 : 

(1)《 密 码 故事 ,人 类 智力 的 另类 较量 》. 英 
国 西蒙 . 辛 格 著 (1999 年 ), 朱 小 篷 . 林 金 钟 译 ， 
海南 出 版 社 ,2001 年 . 

( 辛 格 曾 写 过 另 一 本 书 《 费 马 大 定理 :一 个 
困惑 了 世界 智者 358 年 的 谜 》(1997 年 ). 介绍 费 
马 猜想 经 过 350 年 被 证 明 的 历史 ,中 文 版 由 薛 
密 译 , 上 海 译文 出 版 社 ,1998 年 ) 

(2)《 军 事 密码 学 》 李 长 生 ,分 祁 编著 . 上 
海 科 技 教育 出 版 社 ,2001 年 . 

教材 和 参考 书 有 : 

(1)《 计 算 机 密码 应 用 基础 》. 朱文 余 , 孙 琦 
编著 . 科学 出 版 社 ,2000 年 . 

(2) 《应 用 密码 学 ). ( 美 ) 施 奈 尔 (Schneier 
B. ) 著 、 吴 世 忠 等 译 , 机 械 工业 出 版 社 ,2000 年 . 

(3)《 密 码 学 》. 泉 震 等 编著 . 中 国 水 利水 电 
出 版 社 ,2002 年 . 


131 


